det0236-detection-strategy-for-spearphishing-attachment-across-os-platforms

# DET0236 — Detection Strategy for Spearphishing Attachment across OS Platforms ## Descrição Esta estratégia cobre a detecção de spearphishing por anexo em múltiplas plataformas (Windows, macOS, Linux), cobrindo desde documentos Office com macros até PDFs com exploit, arquivos comprimidos com executáveis e ISO/IMG montáveis. É um dos vetores de acesso inicial mais utilizados por APTs e grupos de ransomware globalmente. Os indicadores variam por plataforma: no Windows, o processo pai típico de execução maliciosa é `WINWORD.EXE`, `EXCEL.EXE`, `OUTLOOK.EXE` ou `ACROBAT.EXE` gerando filhos suspeitos. Em macOS, documentos que ignoram o atributo de quarentena (com.apple.quarantine) são suspeitos. Em Linux, scripts enviados por e-mail que são executados a partir de `/tmp` ou diretório de download. A telemetria requer análise de e-mail em gateway (hash de anexo vs. reputation, extensão vs. tipo MIME real), sandboxing de anexos, e correlação de abertura de documento com criação de processos filhos suspeitos via EDR. ## Indicadores de Detecção - Aplicativo Office gerando processos `cmd.exe`, `powershell.exe`, `wscript.exe` ou `mshta.exe` como filho - PDF aberto pelo Acrobat Reader iniciando processo externo ou realizando conexão de rede - Arquivo comprimido (`.zip`, `.rar`, `.7z`) extraído em `%TEMP%` contendo executável PE com dupla extensão - ISO/IMG montado por usuário contendo arquivo `.lnk` que aponta a script ou executável malicioso - Macro Office habilitada em documento com campo `AutoOpen`, `AutoExec` ou `Document_Open` - Arquivo com Mark-of-the-Web (MOTW) ausente sendo executado diretamente (indicador de entrega via USB ou share) ## Técnicas Relacionadas - [[T1566.001-spearphishing-attachment|T1566.001 — Spearphishing Attachment]] - [[t1566-phishing|T1566 — Phishing]] - [[T1204.002-user-execution-malicious-file|T1204.002 — Malicious File]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] ## Analytics Relacionadas - [[an0655-analytic-0655|AN0655 — Analytic 0655]] - [[an0656-analytic-0656|AN0656 — Analytic 0656]] - [[an0657-analytic-0657|AN0657 — Analytic 0657]] --- *Fonte: [MITRE ATT&CK — DET0236](https://attack.mitre.org/detectionstrategies/DET0236)*