# DET0164 — Detection Strategy for Overwritten Process Arguments Masquerading ## Descrição Esta estratégia detecta mascaramento de processos via sobrescrita de argumentos na linha de comando — mapeado em [[t1036-masquerading|T1036 - Masquerading]]. Adversários modificam o array `argv[]` do processo em memória após a criação (via `prctl(PR_SET_NAME)` no Linux, ou manipulação da PEB no Windows) para que ferramentas de monitoramento de processos exibam argumentos falsos enquanto o código malicioso é executado. Os indicadores incluem discrepância entre argumentos capturados no momento de `execve()` (via auditd/eBPF) e o conteúdo de `/proc/[pid]/cmdline` lido posteriormente, processos com `argv[0]` inconsistente com o binário em `/proc/[pid]/exe`, e uso de `prctl(PR_SET_NAME)` por processos não-sistema logo após execução. Telemetria de execução com captura de argumentos no ponto de syscall é essencial. A correlação entre o hash do binário executado, o nome exibido e o comportamento de rede/arquivo do processo é a técnica mais eficaz. Processos que se renomeiam para nomes de sistema (`kworker`, `systemd`, `svchost`) mas exibem atividade atípica são sinais fortes de mascaramento. ## Indicadores de Detecção - Divergência entre `argv` capturado em `execve()` e `/proc/[pid]/cmdline` posterior - Chamada `prctl(PR_SET_NAME)` por processo de usuário sem justificativa - Processo com nome `kworker`, `svchost` ou similar iniciado por processo pai inesperado - `argv[0]` não corresponde ao path real do binário em `/proc/[pid]/exe` - Modificação da PEB (`ProcessParameters.CommandLine`) detectada via memory scanning ## Técnicas Relacionadas - [[t1036-masquerading|T1036 - Masquerading]] — técnica principal detectada - [[T1036.005 - Match Legitimaté Name or Location]] — variante relacionada - [[t1055-process-injection|T1055 - Process Injection]] — frequentemente combinado com mascaramento - [[t1059-command-and-scripting-interpreter]] — execução subsequente ## Analytics Relacionadas - [[an0466-analytic-0466|AN0466 — Analytic 0466]] --- *Fonte: [MITRE ATT&CK — DET0164](https://attack.mitre.org/detectionstrategies/DET0164)*