det0183-detection-strategy-for-lateral-tool-transfer-across-os-platforms

# DET0183 — Detection Strategy for Lateral Tool Transfer across OS platforms ## Descrição Esta estratégia detecta a transferência de ferramentas maliciosas entre hosts durante movimento lateral — mapeada para [[T1570 — Lateral Tool Transfer]]. Adversários copiam ferramentas de ataque para sistemas comprometidos usando protocolos legítimos como SMB, RDP file transfer, SCP, e utilitários nativos como `robocopy`, `xcopy` ou `scp`, evitando download externo que poderia ser bloqueado. A detecção correlaciona múltiplas fontes: criação de arquivos executáveis em compartilhamentos de rede, transferências de arquivos via protocolos de administração remota, e execução de binários recém-copiados. A presença de ferramentas de ataque conhecidas (Mimikatz, Cobalt Strike, BloodHound) em diretórios temporários ou não-padrão é um indicador de alta confiança. Hashing de arquivos transferidos contra listas de IoCs conhecidos aumenta a precisão. No Windows, eventos de auditoria de compartilhamento de arquivo (5145) e criação de processo (4688) são correlacionados. No Linux/macOS, logs de SSH e atividade de `scp`/`rsync` são monitorados. A estratégia cobre quatro analytics distintos — Windows SMB, Windows RDP, Linux SSH e macOS — para cobertura multiplataforma. ## Indicadores de Detecção - Criação de arquivos `.exe`, `.dll`, `.ps1` em caminhos de compartilhamento de rede (`\\host\C$\temp\`) - Transferência de arquivos via RDP (redirecionamento de unidade) seguida de execução imediata - `scp` ou `rsync` transferindo binários ELF/PE entre hosts internos - Execução de arquivos a partir de `%TEMP%`, `%APPDATA%` ou `/tmp` recém-criados - Hash de arquivo correspondente a ferramentas de ataque conhecidas (Mimikatz, PsExec variants) - `robocopy` ou `xcopy` executados por processos não-administrativos - Criação de arquivo seguida de execução no mesmo host destino em < 30 segundos ## Técnicas Relacionadas - [[t1570-lateral-tool-transfer|T1570 — Lateral Tool Transfer]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] ## Analytics Relacionadas - [[an0516-analytic-0516|AN0516 — Analytic 0516]] - [[an0517-analytic-0517|AN0517 — Analytic 0517]] - [[an0518-analytic-0518|AN0518 — Analytic 0518]] - [[an0519-analytic-0519|AN0519 — Analytic 0519]] --- *Fonte: [MITRE ATT&CK — DET0183](https://attack.mitre.org/detectionstrategies/DET0183)*