det0275-detect-adversary-deobfuscation-or-decoding-of-files-and-payloads

# DET0275 — Detect Adversary Deobfuscation or Decoding of Files and Payloads ## Descrição Esta estratégia detecta a deobfuscação ou decodificação em tempo de execução de payloads maliciosos que chegam ofuscados para evitar detecção estática. Adversários codificam payloads em base64, XOR, AES ou outras técnicas, e os decodificam em memória ou em disco na máquina alvo antes da execução — separando a fase de entrega da fase de execução do payload real. Os vetores incluem: scripts PowerShell com blocos `[Convert]::FromBase64String()` seguidos de `Invoke-Expression`, macros Office que decodificam shellcode de strings embutidas, e downloaders que descriptografam o payload após download de C2. Detecção de Script Block Logging e AMSI são as principais fontes de telemetria para essa técnica. A telemetria requer PowerShell Script Block Logging (Event ID 4104) para capturar conteúdo deofuscado antes da execução, AMSI logging para análise de strings antes de execução em interpretadores, e monitoramento de uso de APIs de criptografia/decodificação seguido de execução de código. ## Indicadores de Detecção - PowerShell Script Block (Event ID 4104) contendo `FromBase64String` + `Invoke-Expression` ou `IEX` - Script com múltiplos níveis de decodificação aninhados (base64 dentro de base64, XOR sobre base64) - Processo chamando `CryptDecrypt` ou `BCryptDecrypt` seguido de criação de arquivo PE em `%TEMP%` - String excessivamente longa (> 10.000 caracteres) em argumento de linha de comando de interpretador - AMSI detectando tentativa de bypass (strings como `amsiInitFailed`, `amsiContext`) - `certutil.exe -decode` ou `certutil.exe -urlcache` executados por processo não administrativo ## Técnicas Relacionadas - [[t1140-deobfuscate-decode|T1140 — Deobfuscaté/Decode Files or Information]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1059-001-powershell|T1059.001 — PowerShell]] - [[T1027.010-command-obfuscation|T1027.010 — Command Obfuscation]] - [[t1620-reflective-code-loading|T1620 — Reflective Code Loading]] ## Analytics Relacionadas - [[an0767-analytic-0767|AN0767 — Analytic 0767]] - [[an0768-analytic-0768|AN0768 — Analytic 0768]] - [[an0769-analytic-0769|AN0769 — Analytic 0769]] --- *Fonte: [MITRE ATT&CK — DET0275](https://attack.mitre.org/detectionstrategies/DET0275)*