det0257-detect-mark-of-the-web-motw-bypass-via-container-and-disk-image-files

# DET0257 — Detect Mark-of-the-Web (MOTW) Bypass via Container and Disk Image Files ## Descrição Detecta o bypass do Mark-of-the-Web (MOTW) através do uso de arquivos de imagem de disco ou container (`.iso`, `.img`, `.vhd`, `.vhdx`) que não propagam o atributo Zone.Identifier para arquivos extraídos. Adversários distribuem payloads maliciosos dentro dessas imagens para contornar prompts de segurança do Windows SmartScreen e proteções baseadas em MOTW. Os indicadores incluem montagem de arquivos `.iso` ou `.img` seguida imediatamente por execução de arquivos dentro do volume montado, sem presença de Zone.Identifier nas streams alternativas de dados (ADS) dos executáveis resultantes. A cadeia de eventos típica é: download do arquivo de imagem (com MOTW) → montagem automática → execução de arquivo sem MOTW → spawn de processo. A telemetria necessária abrange eventos de montagem de volume (Event ID 98 do DriverFrameworks), process creation a partir de volumes com letra de drive recém-montada, verificação de ADS Zone.Identifier em executáveis criados/executados e detecção de ausência de MOTW em binários originados de downloads recentes. ## Indicadores de Detecção - Montagem de arquivo `.iso`, `.img` ou `.vhd` seguida por execução de binário em < 60 segundos - Executável em volume montado (ex: `D:\setup.exe`) sem stream `Zone.Identifier` nos ADS - Arquivo `.lnk` dentro de imagem de disco apontando para binário na mesma imagem montada - DLL ou executável sem MOTW carregado por processo que originou de download com MOTW - Volume montado com letra de drive por processo de browser ou cliente de email - Registro de `VolumeDeviceType` e `AssociatedFile` para containers ISO em system event logs ## Técnicas Relacionadas - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1566-phishing|T1566 — Phishing]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] ## Analytics Relacionadas - [[an0712-analytic-0712|AN0712 — Analytic 0712]] --- *Fonte: [MITRE ATT&CK — DET0257](https://attack.mitre.org/detectionstrategies/DET0257)*