det0180-detection-strategy-for-t1547009-shortcut-modification-windows

# DET0180 — Detection Strategy for T1547.009 – Shortcut Modification (Windows) ## Descrição Esta estratégia detecta persistência via modificação de atalhos do Windows (arquivos `.lnk`) para apontar para payloads maliciosos — mapeado em [[t1547-009-shortcut-modification|T1547.009 - Shortcut Modification]]. Adversários modificam atalhos existentes (na área de trabalho, menu iniciar, pastas de startup) ou criam novos atalhos que executam comandos maliciosos enquanto ainda lançam o programa legítimo esperado, tornando a persistência transparente para o usuário. Os indicadores incluem criação ou modificação de arquivos `.lnk` em diretórios de Startup (`%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\`, `%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Startup\`), atalhos com campo `TargetPath` apontando para interpretadores de script (`cmd.exe`, `powershell.exe`, `wscript.exe`) em vez de aplicativos legítimos, e atalhos com argumentos codificados em Base64 ou com caminhos para `%TEMP%`. Monitoramento de integridade de arquivos (Sysmon File Create, Event ID 11) é a fonte primária. Verificar propriedades do atalho (TargetPath, Arguments, WorkingDirectory) via análise de conteúdo binário do `.lnk` é mais eficaz que apenas monitorar criação do arquivo. Atalhos legítimos modificados para incluir `cmd /c <payload> && <legit_app>` são particularmente difíceis de detectar sem análise de conteúdo. ## Indicadores de Detecção - Arquivo `.lnk` criado ou modificado em pasta de Startup por processo não-instalador - Atalho com `TargetPath` apontando para `cmd.exe`, `powershell.exe` ou `wscript.exe` - Campo `Arguments` de atalho contendo string codificada em Base64 ou caminho para `%TEMP%` - Atalho existente de aplicação legítima com `TargetPath` ou `Arguments` modificados - Processo `lnkfile` ou script criando `.lnk` em múltiplos diretórios em sequência rápida ## Técnicas Relacionadas - [[t1547-009-shortcut-modification|T1547.009 - Shortcut Modification]] — técnica principal detectada - [[t1547-boot-logon-autostart-execution|T1547 - Boot or Logon Autostart Execution]] — categoria pai - [[t1059-001-powershell|T1059.001 - PowerShell]] — frequentemente o payload referênciado no atalho - [[t1204-001-malicious-link|T1204.001 - Malicious Link]] — usuário clicando em atalho malicioso ## Analytics Relacionadas - [[an0510-analytic-0510|AN0510 — Analytic 0510]] --- *Fonte: [MITRE ATT&CK — DET0180](https://attack.mitre.org/detectionstrategies/DET0180)*