det0176-drive-by-compromise-behavior-based-multi-platform-detection-strategy-t11

# DET0176 — Drive-by Compromise — Behavior-based, Multi-platform Detection Strategy (T1189) ## Descrição Esta estratégia detecta comprometimento via navegação web (drive-by) através de análise comportamental multi-plataforma — mapeado em [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]]. Adversários comprometem sites legítimos ou criam páginas maliciosas para explorar vulnerabilidades em navegadores, plugins (Flash, PDF readers) ou o próprio SO do visitante, sem necessidade de interação além do acesso à página. Os indicadores comportamentais incluem processo de navegador (`chrome.exe`, `firefox.exe`, `safari`, `msedge.exe`) gerando filho inesperado (ex: `cmd.exe`, `powershell.exe`, `wscript.exe`), escritas de arquivo em diretórios de sistema pelo navegador, download de executáveis seguido imediatamente de execução, e acesso a memória de processos de sistema pelo renderer do navegador. Em macOS/Linux, monitorar `Safari`, `Firefox` criando processos de shell é equivalente. A abordagem multi-plataforma considera a divergência de artefatos: no Windows, foco em process creation e file drops; no macOS, monitorar launch agents e quarantine database; no Linux, focar em escrita em `~/.config/autostart/` e cron por processos de navegador. Telemetria de EDR com proteção de processo de navegador é essencial. ## Indicadores de Detecção - Navegador criando processo filho que é interpretador de script (`cmd`, `powershell`, `bash`, `sh`) - Navegador escrevendo executável em `%TEMP%`, `/tmp`, `~/Downloads` e executando imediatamente - Renderer ou plugin do navegador acessando memória de processo de sistema - Download de arquivo `.exe`, `.dll`, `.js`, `.ps1` seguido de execução em < 60 segundos - Navegador estabelecendo conexão com IP/domínio de C2 logo após download de payload ## Técnicas Relacionadas - [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] — técnica principal detectada - [[t1203-exploitation-client-execution|T1203 - Exploitation for Client Execution]] — mecanismo de exploração relacionado - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] — vetor de acesso que pode levar a drive-by - [[t1059-command-and-scripting-interpreter]] — execução pós-comprometimento ## Analytics Relacionadas - [[an0498-analytic-0498|AN0498 — Analytic 0498]] - [[an0499-analytic-0499|AN0499 — Analytic 0499]] - [[an0500-analytic-0500|AN0500 — Analytic 0500]] - [[an0501-analytic-0501|AN0501 — Analytic 0501]] --- *Fonte: [MITRE ATT&CK — DET0176](https://attack.mitre.org/detectionstrategies/DET0176)*