det0223-detection-of-adversary-abuse-of-software-deployment-tools

# DET0223 — Detection of Adversary Abuse of Software Deployment Tools ## Descrição Esta estratégia foca na detecção de adversários que abusam de ferramentas legítimas de gerenciamento e distribuição de software (SCCM, PDQ Deploy, Ansible, Chef, Puppet, Intune) para movimentação lateral e execução remota em escala. Esses sistemas possuem altos privilégios e acesso a toda a frota de dispositivos, tornando-os alvos valiosos de comprometimento. Os principais vetores de abuso incluem: criação de pacotes ou tarefas maliciosas via APIs de deployment, uso das credenciais do agente de gerenciamento para execução remota, e pivotamento via canais de comunicação já estabelecidos entre o servidor de gestão e os endpoints. Adversários como o grupo APT ligado ao ataque à SolarWinds abusaram precisamente desse tipo de vetor. A telemetria deve cobrir logs de auditoria das plataformas de deployment (SCCM audit logs, Intune audit logs), criação de pacotes ou policies fora do ciclo normal de mudanças, e correlação de execuções remotas iniciadas a partir de servidores de gestão com atividade de processos nos endpoints. ## Indicadores de Detecção - Criação de pacotes de deployment fora de janela de mudança aprovada ou por usuário não administrador - Execução remota via SCCM/Intune de payloads binários ou scripts PowerShell em múltiplos endpoints simultaneamente - Processos filhos de agentes de gerenciamento (`ccmexec.exe`, `pdqdeploy.exe`) gerando `cmd.exe` ou `powershell.exe` - Autenticação no servidor de deployment com credencial de conta de serviço em horário incomum - Tráfego de rede volumoso entre servidor de gestão e endpoints em intervalos regulares curtos (beaconing) - Novos pacotes de software ou scripts não assinados adicionados ao repositório de deployment ## Técnicas Relacionadas - [[t1072-software-deployment-tools|T1072 — Software Deployment Tools]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1195-supply-chain-compromise|T1195 — Supply Chain Compromise]] ## Analytics Relacionadas - [[an0623-analytic-0623|AN0623 — Analytic 0623]] - [[an0624-analytic-0624|AN0624 — Analytic 0624]] - [[an0625-analytic-0625|AN0625 — Analytic 0625]] - [[an0626-analytic-0626|AN0626 — Analytic 0626]] - [[an0627-analytic-0627|AN0627 — Analytic 0627]] --- *Fonte: [MITRE ATT&CK — DET0223](https://attack.mitre.org/detectionstrategies/DET0223)*