det0191-behavior-chain-detection-strategy-for-t1127002-trusted-developer-utiliti

# DET0191 — Behavior-chain detection strategy for T1127.002 Trusted Developer Utilities Proxy Execution: ClickOnce (Windows) ## Descrição Esta estratégia detecta o abuso do framework ClickOnce da Microsoft para execução de código malicioso — mapeada para [[T1127.002 — ClickOnce]]. O ClickOnce é um mecanismo legítimo de implantação de aplicações .NET que permite execução de aplicações a partir de URLs, servidores web ou compartilhamentos de rede. Adversários exploram essa funcionalidade para distribuir e executar payloads maliciosos contornando controles de execução baseados em path. A detecção é baseada em cadeia de comportamentos: `dfsvc.exe` ou `appref-ms` executando aplicação de URL externa ou caminho não-corporativo, seguido de criação de processo filho suspeito. O ClickOnce instala aplicações em `%LOCALAPPDATA%\Apps\2.0\`, tornando esse diretório um indicador relevante de staging de aplicações não-gerenciadas. Análise do manifesto de implantação (`.application`) identifica origens externas suspeitas. O analytics AN0550 foca na cadeia: download de `.application` ou `appref-ms` → execução via `dfsvc.exe` → criação de processo filho → atividade de rede. A correlação com o domínio de origem do manifesto ClickOnce permite identificar campanhas de phishing que usam essa técnica para entrega de payloads. ## Indicadores de Detecção - `dfsvc.exe` executando aplicação de URL não-corporativa ou domínio externo - Arquivo `.application` ou `.appref-ms` baixado de e-mail ou web por usuário comum - Criação de diretório em `%LOCALAPPDATA%\Apps\2.0\` por processo de browser ou cliente de e-mail - `dfsvc.exe` gerando processo filho que abre conexão de rede externa - Manifesto ClickOnce com `deploymentProvider` apontando para IP público ou domínio recém-registrado - Aplicação ClickOnce executando com permissões `fullTrust` sem assinatura corporativa - Execução de `rundll32.exe dfshim.dll,ShOpenVerbApplication` com argumento de URL externa ## Técnicas Relacionadas - [[t1127-trusted-developer-utilities-proxy-execution|T1127 — Trusted Developer Utilities Proxy Execution]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1566-phishing|T1566 — Phishing]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] ## Analytics Relacionadas - [[an0550-analytic-0550|AN0550 — Analytic 0550]] --- *Fonte: [MITRE ATT&CK — DET0191](https://attack.mitre.org/detectionstrategies/DET0191)*