det0309-compromised-softwareupdate-chain-installerwrite-first-runchild-egresssig

# DET0309 — Compromised software/updaté chain (installer/write → first-run/child → egress/signature anomaly) ## Descrição Esta estratégia detecta comprometimento de cadeia de suprimentos de software, onde adversários inserem código malicioso em instaladores legítimos ou atualizações de software que são então distribuídas para múltiplos clientes ou usuários. O caso [[_solarwinds|SolarWinds]] (SUNBURST) é o exemplo mais impactante desta técnica, onde uma atualização legítima do Orion continha um backdoor que afetou milhares de organizações simultaneamente. A cadeia de detecção correlaciona três fases: (1) instalação/escrita de software com anomalia de assinatura ou hash inesperado em relação ao baseline do fornecedor, (2) primeiro processo filho gerado pelo software após instalação realizando atividade incomum (rede de saída, leitura de credenciais, enumeração de sistema), e (3) tráfego de rede de saída para domínios não pertencentes à infraestrutura conhecida do fornecedor. A comparação de hash de binários com registros do fornecedor é fundamental. Esta técnica é especialmente difícil de detectar porque o software comprometido é distribuído via canais legítimos e confiáveis, frequentemente assinado com certificados válidos do fornecedor comprometido. A telemetria de Threat Intelligence sobre hashes comprometidos de fornecedores específicos e Indicators of Compromise (IoCs) de campanhas de supply chain são entradas críticas para esta estratégia. ## Indicadores de Detecção - Hash de binário instalado difere do hash públicado pelo fornecedor para a mesma versão - Certificado de assinatura de software válido mas emitido em data diferente da versão declarada - Primeiro processo filho do instalador estabelecendo conexão de rede para domínio não pertencente ao fornecedor - Instalador modificando arquivos fora do diretório de instalação esperado (ex: `%TEMP%`, `System32`) - Software de atualização legítimo gerando processo filho com leitura de LSA memory ou credenciais - Binário instalado com dependências (DLLs) com hashes diferentes das versões oficiais do fornecedor ## Técnicas Relacionadas - [[t1195-supply-chain-compromise|T1195 — Supply Chain Compromise]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] ## Analytics Relacionadas - [[an0862-analytic-0862|AN0862 — Analytic 0862]] - [[an0863-analytic-0863|AN0863 — Analytic 0863]] - [[an0864-analytic-0864|AN0864 — Analytic 0864]] --- *Fonte: [MITRE ATT&CK — DET0309](https://attack.mitre.org/detectionstrategies/DET0309)*