det0166-detection-strategy-for-t1505002-transport-agent-abuse-windowslinux

# DET0166 — Detection Strategy for T1505.002 - Transport Agent Abuse (Windows/Linux) ## Descrição Esta estratégia detecta abuso de Transport Agents do Microsoft Exchange como mecanismo de persistência em servidores de e-mail — mapeado em [[t1505-002-transport-agent|T1505.002 - Transport Agent]]. Transport Agents são componentes .NET registrados no pipeline de transporte do Exchange que processam cada mensagem; adversários os exploram para implantar backdoors que persistem com os privilégios do serviço de transporte (SYSTEM). Os indicadores incluem registro de um novo Transport Agent via `Install-TransportAgent` PowerShell ou modificação direta do `EdgeTransport.exe.config`, DLLs recém-criadas em diretórios do Exchange (`%ExchangeInstallPath%\TransportRoles\agents\`), e o processo `EdgeTransport.exe` ou `MSExchangeTransport` carregando módulos não assinados ou de origem incomum. Em sistemas Linux com agentes de e-mail alternativos, monitorar modificações em `milter` e configs de Postfix/Sendmail é equivalente. A telemetria essencial inclui monitoramento de integridade de arquivos no diretório de agents do Exchange, logs do Exchange Management Shell, e Sysmon com carregamento de imagens (Event ID 7) para o processo de transporte. Alertar quando DLL carregada por `EdgeTransport.exe` não tem assinatura Microsoft válida é altamente eficaz. ## Indicadores de Detecção - Execução de `Install-TransportAgent` ou `Enable-TransportAgent` fora de janelas de manutenção - Nova DLL criada em `%ExchangeInstallPath%\TransportRoles\agents\` - `EdgeTransport.exe` ou `MSExchangeTransport` carregando imagem não assinada (Sysmon ID 7) - Modificação de `EdgeTransport.exe.config` ou `MSExchangeTransport.exe.config` - Transport Agent registrado com nome genérico ou que imita componentes legítimos do Exchange ## Técnicas Relacionadas - [[t1505-002-transport-agent|T1505.002 - Transport Agent]] — técnica principal detectada - [[t1505-server-software-component|T1505 - Server Software Component]] — categoria pai - [[t1546-event-triggered-execution|T1546 - Event Triggered Execution]] — persistência por gatilho de evento - [[t1078-valid-accounts]] — frequentemente combinado para manter acesso ## Analytics Relacionadas - [[an0472-analytic-0472|AN0472 — Analytic 0472]] - [[an0473-analytic-0473|AN0473 — Analytic 0473]] --- *Fonte: [MITRE ATT&CK — DET0166](https://attack.mitre.org/detectionstrategies/DET0166)*