det0294-user-execution-malicious-file-via-downloadopen-spawn-chain-t1204002

# DET0294 — User Execution – Malicious File via download/open → spawn chain (T1204.002) ## Descrição Esta estratégia detecta a cadeia completa de execução quando um usuário abre um arquivo malicioso recebido via e-mail ou download — a técnica `T1204.002` (Malicious File). O foco é na correlação entre o evento de download/abertura e o spawn subsequente de processos filhos suspeitos, caracterizando a execução bem-sucedida de um payload entregue por phishing ou watering hole. A cadeia típica inclui: arquivo baixado de browser ou cliente de e-mail → abertura pela aplicação associada (Word, Excel, PDF reader) → spawn de interpretador de script ou shell → execução de payload de segundo estágio. O atributo de Mark-of-the-Web (MOTW) no Windows identifica arquivos provenientes de zonas de internet e é um elemento crítico da correlação, pois arquivos legítimos raramente geram processos filho após abertura com MOTW. Campanhas de spear-phishing direcionadas ao setor financeiro no Brasil frequentemente utilizam esta técnica com documentos maliciosos em português. A correlação de processo pai (aplicação que abriu o arquivo) + processo filho (shell/script) + contexto MOTW fornece alta fidelidade de detecção com poucos falsos positivos. ## Indicadores de Detecção - Arquivo com MOTW (Zone.Identifier = 3) aberto por Office gerando processo filho não-Office - `AcroRd32.exe` ou `FoxitPDFReader.exe` iniciando `cmd.exe`, `powershell.exe` ou `wscript.exe` - Arquivo `.lnk`, `.iso` ou `.img` montado de `%USERPROFILE%\Downloads` executando binário interno - Documento Office com macro habilitada (`AutoOpen`, `Document_Open`) gerando shell filho - Arquivo executável com ícone de documento aberto diretamente de pasta de downloads - Chain: browser download → extração de ZIP → execução de PE em < 120 segundos ## Técnicas Relacionadas - [[t1204-user-execution|T1204 — User Execution]] - [[t1566-phishing|T1566 — Phishing]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] ## Analytics Relacionadas - [[an0819-analytic-0819|AN0819 — Analytic 0819]] - [[an0820-analytic-0820|AN0820 — Analytic 0820]] - [[an0821-analytic-0821|AN0821 — Analytic 0821]] --- *Fonte: [MITRE ATT&CK — DET0294](https://attack.mitre.org/detectionstrategies/DET0294)*