det0214-detection-strategy-for-embedded-payloads

# DET0214 — Detection Strategy for Embedded Payloads ## Descrição Esta estratégia detecta payloads maliciosos embarcados em arquivos legítimos ou outras estruturas — mapeada para [[T1027.009 — Embedded Payloads]]. Adversários incorporam shellcode, scripts ou executáveis dentro de documentos Office (macros VBA, OLE objects), imagens (esteganografia), arquivos de configuração, ou seções de PE não-padrão para contornar soluções de segurança que analisam apenas a estrutura superficial do arquivo. A detecção combina análise estática e comportamental: análise de entropy de seções de arquivo (alta entropy em seções de dados indica payload encriptado/comprimido embarcado), extração e análise de objetos OLE em documentos Office, detecção de shellcode em seções de recurso PE, e monitoramento de processos que extraem e executam dados de arquivos que normalmente não são executáveis. Três analytics cobrem: documentos com objetos OLE suspeitos (alta entropy, shellcode signatures), executáveis PE com seções adicionais ou sobrepostas com entropy anômala, e processos que leem dados de imagens/PDFs e subsequentemente executam código (esteganografia em uso ativo). Integração com sandbox detecta extração e execução de payload embarcado. ## Indicadores de Detecção - Documento Office com seção OLE de entropy > 6.5 não correspondendo a imagem ou mídia legítima - Arquivo PE com seção adicional não-padrão (além de `.text`, `.data`, `.rsrc`) com entropy > 7.0 - Processo lendo arquivo de imagem (`.png`, `.jpg`) e subsequentemente alocando memória executável (RWX) - Shellcode signatures (ex: `\xeb\x0f\x5e\x89\x76`) encontradas em seção de recurso de PE - `CreateObject` em VBA/PowerShell extraindo e executando dados de arquivo de imagem ou texto - Arquivo com extensão benigna (`.jpg`, `.pdf`) contendo MZ header (PE signature) no interior - Processo com comportamento C2 após abrir documento Office com macros (macro dropper) ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1566-phishing|T1566 — Phishing]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1055-process-injection|T1055 — Process Injection]] ## Analytics Relacionadas - [[an0599-analytic-0599|AN0599 — Analytic 0599]] - [[an0600-analytic-0600|AN0600 — Analytic 0600]] - [[an0601-analytic-0601|AN0601 — Analytic 0601]] --- *Fonte: [MITRE ATT&CK — DET0214](https://attack.mitre.org/detectionstrategies/DET0214)*