det0281-detection-strategy-for-compressed-payload-creation-and-execution

# DET0281 — Detection Strategy for Compressed Payload Creation and Execution ## Descrição Esta estratégia detecta o uso de compressão e arquivamento como mecanismo de entrega e evasão de payloads maliciosos. Adversários comprimem ferramentas, implants e dados exfiltrados para contornar detecções baseadas em assinatura, reduzir tamanho de transferência e dificultar análise forense. Formatos como ZIP, RAR, 7z e tar são comumente abusados, muitas vezes protegidos por senha para impedir inspeção. Os indicadores primários incluem a criação de arquivos comprimidos em paths suspeitos (temp, downloads, AppData) seguida de execução imediata de seus conteúdos, uso de ferramentas de linha de comando (7z.exe, Expand-Archive) por processos pais incomuns, e extração de executáveis ou scripts de dentro de arquivos comprimidos. A proteção por senha é um indicador adicional de tentativa de evasão de DLP e sandboxes. A correlação entre download de arquivo comprimido, extração e execução do conteúdo em janela temporal curta é um padrão de alta fidelidade. Grupos de ransomware como [[lockbit|LockBit]] e [[blackcat|BlackCat]] frequentemente distribuem seus stagers como ZIPs protegidos por senha entregues via phishing, alinhando-se ao [[t1204-user-execution|T1204]]. ## Indicadores de Detecção - Extração de PE (`.exe`, `.dll`) de arquivo comprimido seguida de execução em < 60 segundos - Uso de `7z.exe`, `expand.exe` ou `Expand-Archive` por processo filho de `winword.exe`, `excel.exe` ou browser - Arquivo comprimido criado em `%TEMP%` com nome aleatório (< 8 caracteres sem sentido) - Arquivo comprimido protegido por senha recebido via e-mail ou download de repositório não corporativo - Extração de script (`.ps1`, `.vbs`, `.js`) de ZIP seguida de execução via `wscript.exe` ou `powershell.exe` - Múltiplos arquivos comprimidos criados rapidamente (burst) em diretório de dados sensíveis (preparação para exfiltração) ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] ## Analytics Relacionadas - [[an0782-analytic-0782|AN0782 — Analytic 0782]] - [[an0783-analytic-0783|AN0783 — Analytic 0783]] - [[an0784-analytic-0784|AN0784 — Analytic 0784]] --- *Fonte: [MITRE ATT&CK — DET0281](https://attack.mitre.org/detectionstrategies/DET0281)*