det0202-behavioral-detection-of-windows-command-shell-execution

# DET0202 — Behavioral Detection of Windows Command Shell Execution ## Descrição Esta estratégia detecta uso malicioso do interpretador de linha de comando Windows (`cmd.exe`) — mapeada para [[T1059.003 — Windows Command Shell]]. Embora `cmd.exe` sejá ferramenta legítima, adversários o utilizam para executar comandos de reconhecimento, download de payloads, escalada de privilégio, e persistência — especialmente quando invocado por processos que normalmente não abrem shells interativos. A detecção é comportamental e foca no contexto de execução: processo pai inesperado gerando `cmd.exe` (documentos Office, processos de serviço web, aplicações de usuário não-técnico), argumentos de linha de comando contendo indicadores de malícia (`/c echo`, `bitsadmin`, `certutil`, codificação Base64), e execução de `cmd.exe` em contexto de sistema sem sessão de usuário ativa. O analytics AN0578 correlaciona processo pai × argumentos × horário × contexto de usuário. Comandos longos e complexos passados via `/c` são indicadores de automação maliciosa. A combinação de `cmd.exe` spawned por processo de serviço + acesso de rede + criação de arquivo executa um padrão de alta confiança. ## Indicadores de Detecção - `cmd.exe` spawned por `winword.exe`, `excel.exe`, `powerpnt.exe` ou aplicações de usuário - `cmd.exe /c <comando muito longo>` com argumentos codificados em Base64 ou hex - `cmd.exe` invocado por processo de serviço web (`w3wp.exe`, `tomcat`, `node.exe`) - Argumento `/c certutil -decode` ou `/c bitsadmin /transfer` em linha de comando cmd - `cmd.exe` com `<input.txt` ou `>output.txt` em caminhos de diretório temporário - Shell cmd.exe criada sem sessão de usuário interativa (SYSTEM context, serviço de rede) - `cmd.exe` seguido imediatamente de criação de processo `net.exe`, `whoami.exe`, `nltest.exe` ## Técnicas Relacionadas - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1202-indirect-command-execution|T1202 — Indirect Command Execution]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] ## Analytics Relacionadas - [[an0578-analytic-0578|AN0578 — Analytic 0578]] --- *Fonte: [MITRE ATT&CK — DET0202](https://attack.mitre.org/detectionstrategies/DET0202)*