det0264-cross-platform-detection-of-javascript-execution-abuse

# DET0264 — Cross-Platform Detection of JavaScript Execution Abuse ## Descrição Esta estratégia detecta o abuso de ambientes de execução JavaScript fora do contexto de navegador — incluindo `wscript.exe`/`cscript.exe` no Windows (JScript), Node.js, e runtimes JavaScript embutidos em aplicações — para execução de payloads maliciosos. JavaScript é uma linguagem polyglota que pode ser executada em múltiplas plataformas, facilitando o desenvolvimento de malware cross-platform. No Windows, JScript via `wscript.exe` é historicamente usado para downloaders e droppers. Em ambientes de desenvolvimento, Node.js é alvo por não ser monitorado como interpretador de shell. Em macOS e Linux, pacotes npm maliciosos frequentemente usam JavaScript para executar payloads nativos. O monitoramento de invocações de runtimes JS em contextos incomuns é central. A telemetria requer logging de execução de `wscript.exe`/`cscript.exe` com linha de comando completa, monitoramento de execução de Node.js com argumentos de script, e detecção de execução JavaScript inline (`-e` flag) em ambientes de produção. ## Indicadores de Detecção - `wscript.exe` ou `cscript.exe` executando arquivo `.js` de `%TEMP%`, `%APPDATA%` ou share de rede - Node.js executando script com argumento `-e` (inline code) em sistema de produção não-dev - Script JavaScript invocando `ActiveXObject` para criar processos ou acessar sistema de arquivos - Arquivo `.js` com extensão oculta dupla (ex: `document.pdf.js`) executado por usuário - `node.exe` realizando conexão de rede de saída para IP externo sem user interaction - Script JavaScript ofuscado (alta entropia de string, eval de string dinâmica) carregado em runtime ## Técnicas Relacionadas - [[T1059.007-javascript|T1059.007 — JavaScript]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[T1218.005-mshta|T1218.005 — Mshta]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[T1204.002-user-execution-malicious-file|T1204.002 — Malicious File]] ## Analytics Relacionadas - [[an0733-analytic-0733|AN0733 — Analytic 0733]] - [[an0734-analytic-0734|AN0734 — Analytic 0734]] - [[an0735-analytic-0735|AN0735 — Analytic 0735]] --- *Fonte: [MITRE ATT&CK — DET0264](https://attack.mitre.org/detectionstrategies/DET0264)*