det0200-indirect-command-execution-windows-utility-abuse-behavior-chain

# DET0200 — Indirect Command Execution – Windows utility abuse behavior chain ## Descrição Esta estratégia detecta execução indireta de comandos via utilitários Windows legítimos para contornar controles de segurança baseados em reputação de processo — mapeada para [[T1202 — Indirect Command Execution]]. Adversários utilizam utilitários como `pcalua.exe`, `forfiles.exe`, `cmdkey.exe`, `desktopimgdownldr.exe` e `bash.exe` (WSL) para executar comandos arbitrários sem invocar diretamente `cmd.exe` ou `powershell.exe`, contornando regras de detecção baseadas nesses processos. A detecção é baseada em cadeia de comportamentos: utilitário incomum sendo invocado com argumentos que resultam em execução de comando — especialmente quando o processo pai é um documento Office, browser ou script de usuário. O analytics AN0576 mapeia a cadeia completa de execução, correlacionando o utilitário proxy com o processo filho gerado e a atividade subsequente. Chaves para detecção incluem monitorar a lista específica de utilitários frequentemente abusados (`forfiles /c cmd /c`, `pcalua.exe -a <payload>`, `bash.exe -c <cmd>`), identificar argumentos suspeitos, e correlacionar com processo pai anômalo. Logs de criação de processo com linha de comando completa (Sysmon evento 1 ou auditoria de processo Windows 4688) são obrigatórios. ## Indicadores de Detecção - `forfiles.exe /p C:\Windows\System32 /m notepad.exe /c "cmd /c <payload>"` - `pcalua.exe -a <executável_malicioso>` executado por processo de usuário - `bash.exe -c "<comando>"` invocado por processo não-interativo em sistemas com WSL - `desktopimgdownldr.exe` com argumento `--lock` baixando arquivo remoto - `cmdkey.exe /generic:<payload>` usado para execução indireta - `cmstp.exe /s <INF_file>` com arquivo INF malicioso de URL remota - Utilitário de linha de comando incomum gerando `cmd.exe` ou `powershell.exe` como filho ## Técnicas Relacionadas - [[t1202-indirect-command-execution|T1202 — Indirect Command Execution]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] ## Analytics Relacionadas - [[an0576-analytic-0576|AN0576 — Analytic 0576]] --- *Fonte: [MITRE ATT&CK — DET0200](https://attack.mitre.org/detectionstrategies/DET0200)*