det0287-exploitation-for-client-execution-cross-platform-behavior-chain-browsero

# DET0287 — Exploitation for Client Execution – cross-platform behavior chain (browser/Office/3rd-party apps) ## Descrição Esta estratégia detecta a exploração de vulnerabilidades em aplicações cliente — navegadores, suítes Office e aplicações de terceiros — para execução de código malicioso. A abordagem de cadeia comportamental correlaciona o evento de exploração (crash/recuperação anormal da aplicação, spawn de processo filho inesperado) com atividades pós-exploração como injeção em outros processos, criação de arquivos em disco ou conexões de rede de saída. Os indicadores variam por plataforma: no Windows, processos filho anormais de `chrome.exe`, `firefox.exe`, `winword.exe` ou `excel.exe` como `cmd.exe`, `powershell.exe` ou `wscript.exe`; no macOS, crash reports seguidos de execução de shell filho de aplicações Office ou browsers; no Linux, processos filho de `firefox` ou `libreoffice` realizando operações de rede ou filesystem incomuns. Logs de crash (WER no Windows, `crash_report` no macOS) são fontes de telemetria auxiliares. Exploits de browser como os usados em campanhas de watering hole por [[g0050-apt32|APT32]] e exploits de Office como os usados por [[g0016-apt29|APT29]] em campanhas de spear-phishing se enquadram nesta estratégia. CVEs de alto impacto como [[cve-2021-40444|CVE-2021-40444]] (MSHTML) são exemplos recentes relevantes. ## Indicadores de Detecção - Processo filho de browser ou Office com integridade baixa lançando shell ou interpretador de script - Crash do processo de renderer do browser seguido de criação de processo filho com contexto de rede - `winword.exe` ou `excel.exe` iniciando `cmd.exe`, `powershell.exe`, `mshta.exe` ou `wscript.exe` - Aplicação de terceiros criando arquivo PE em `%TEMP%` e executando imediatamente - Processo filho de aplicação cliente estabelecendo conexão de saída para IP não corporativo - Injeção de thread em processo do sistema (`svchost.exe`, `explorer.exe`) originada de processo de aplicação cliente ## Técnicas Relacionadas - [[t1203-exploitation-for-client-execution|T1203 — Exploitation for Client Execution]] - [[t1566-phishing|T1566 — Phishing]] - [[t1189-drive-by-compromise|T1189 — Drive-by Compromise]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] ## Analytics Relacionadas - [[an0797-analytic-0797|AN0797 — Analytic 0797]] - [[an0798-analytic-0798|AN0798 — Analytic 0798]] - [[an0799-analytic-0799|AN0799 — Analytic 0799]] --- *Fonte: [MITRE ATT&CK — DET0287](https://attack.mitre.org/detectionstrategies/DET0287)*