det0286-detection-strategy-for-impersonation

# DET0286 — Detection Strategy for Impersonation ## Descrição Esta estratégia detecta técnicas de impersonation onde adversários se fazem passar por entidades legítimas — usuários, processos do sistema, serviços ou organizações — para enganar usuários, contornar controles de segurança ou obter acesso a sistemas protegidos. O escopo abrange impersonation técnica (tokens de acesso, processos que imitam binários do sistema) e social (e-mails que imitam executivos ou fornecedores). No nível técnico, os indicadores incluem processos com nomes idênticos a processos legítimos do sistema mas executando de paths incomuns (ex: `svchost.exe` em `C:\Users\` em vez de `C:\Windows\System32\`), uso de caracteres Únicode homoglíticos em nomes de processos ou domínios, e técnicas de Parent Process ID (PPID) spoofing para mascarar a ancestralidade real de um processo malicioso. No nível de comunicação, campanhas de BEC (Business Email Compromise) e spear-phishing utilizando impersonation de executivos ou fornecedores são vetores críticos para setores financeiro e governo. A correlação entre análise de headers de e-mail, domínios similares (typosquatting) e comportamento pós-clique fornece cobertura abrangente. Grupos como [[g0016-apt29|APT29]] e [[g0032-lazarus-group|Lazarus Group]] são conhecidos por técnicas sofisticadas de impersonation. ## Indicadores de Detecção - Processo com nome de binário legítimo executando de path fora de `System32`, `SysWOW64` ou `Program Files` - PPID spoofing: processo filho com PID pai que não corresponde ao processo pai real no ETW - Domínio de remetente de e-mail com diferença de 1-2 caracteres de domínio corporativo legítimo - Certificado digital de processo assinado por CA diferente do esperado para aquele binário - Processo criando named pipe com nome que imita named pipes de processos de segurança (ex: `\pipe\lsarpc`) - User-Agent HTTP que imita browser mas com parâmetros de comportamento inconsistentes ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] - [[t1134-access-token-manipulation|T1134 — Access Token Manipulation]] - [[t1566-phishing|T1566 — Phishing]] - [[t1656-impersonation|T1656 — Impersonation]] ## Analytics Relacionadas - [[an0792-analytic-0792|AN0792 — Analytic 0792]] - [[an0793-analytic-0793|AN0793 — Analytic 0793]] - [[an0794-analytic-0794|AN0794 — Analytic 0794]] - [[an0795-analytic-0795|AN0795 — Analytic 0795]] - [[an0796-analytic-0796|AN0796 — Analytic 0796]] --- *Fonte: [MITRE ATT&CK — DET0286](https://attack.mitre.org/detectionstrategies/DET0286)*