det0172-behavior-chain-platform-aware-detection-strategy-for-t1127-trusted-devel

# DET0172 — Behavior-chain, platform-aware detection strategy for T1127 Trusted Developer Utilities Proxy Execution (Windows) ## Descrição Esta estratégia detecta o abuso de utilitários de desenvolvimento confiáveis do Windows para executar código malicioso com bypass de controles de segurança — mapeado em [[t1127-trusted-developer-utilities-proxy-execution|T1127 - Trusted Developer Utilities Proxy Execution]]. Ferramentas como `MSBuild.exe`, `csc.exe`, `vbc.exe`, `dnscmd.exe` e `tracker.exe` são assinadas pela Microsoft e frequentemente allowlistadas por soluções de segurança, tornando-as atraentes para execução de payloads. A abordagem behavior-chain foca na cadeia de eventos: processo pai incomum invocando ferramenta de desenvolvimento → ferramenta compilando ou carregando payload inline → conexão de rede ou criação de processo filho suspeito. `MSBuild.exe` executando um projeto XML com Tasks C# inline sem existência de arquivo `.csproj` legítimo na árvore de build é o padrão mais comum. Telemetria de Sysmon (Process Create, Network Connect, Image Load) é essencial. A detecção baseada apenas em nome de processo tem alta taxa de falsos positivos em ambientes de desenvolvimento. A abordagem chain — combinando parent process, argumentos, comportamento de rede e arquivos criados — reduz drasticamente o noise enquanto mantém cobertura sobre uso malicioso. ## Indicadores de Detecção - `MSBuild.exe` invocado por processo não-IDE (ex: `cmd.exe`, `powershell.exe`, `wscript.exe`) - `MSBuild.exe` ou `csc.exe` com argumento apontando para arquivo em `%TEMP%`, `%APPDATA%` ou path de rede - Ferramenta de desenvolvimento gerando conexão de rede outbound para IP externo - `MSBuild.exe` criando processo filho (ex: `cmd.exe`, `powershell.exe`) após compilação - Arquivo de projeto `.csproj` com Tasks inline contendo código codificado em Base64 ## Técnicas Relacionadas - [[t1127-trusted-developer-utilities-proxy-execution|T1127 - Trusted Developer Utilities Proxy Execution]] — técnica principal detectada - [[t1127-001-msbuild|T1127.001 - MSBuild]] — sub-técnica mais abusada - [[t1059-001-powershell|T1059.001 - PowerShell]] — frequentemente encadeado após execução via MSBuild - [[t1218-system-binary-proxy-execution|T1218 - System Binary Proxy Execution]] — categoria relacionada de LOLBins ## Analytics Relacionadas - [[an0488-analytic-0488|AN0488 — Analytic 0488]] --- *Fonte: [MITRE ATT&CK — DET0172](https://attack.mitre.org/detectionstrategies/DET0172)*