det0322-detection-strategy-for-junk-code-obfuscation-with-suspicious-execution-p

# DET0322 — Detection Strategy for Junk Code Obfuscation with Suspicious Execution Patterns ## Descrição Esta estratégia detecta o uso de junk code — inserção de código inútil ou irrelevante — como técnica de ofuscação para evadir detecção estática por assinaturas de AV e EDR. A técnica [[t1027-obfuscated-files-or-information|T1027-obfuscated-files-or-information]] inclui a adição de instruções NOP, loops vazios, strings aleatórias e chamadas de função desnecessárias que alteram o hash do binário sem modificar seu comportamento funcional. A detecção combina análise comportamental de execução (comportamento do processo independente de hash) com heurísticas de entropia de arquivo e análise de fluxo de código. Scripts PowerShell, VBScript e Python com estrutura muito repetitiva ou com variáveis de nome aleatório seguidos de comportamento de rede ou execução de shellcode são sinais chave. Em ambientes LATAM, bancários trojans como Grandoreiro e Mekotio utilizam extensivamente junk code e ofuscação de strings para evadir soluções de segurança locais. O monitoramento de comportamento em vez de assinatura é essencial nesse contexto. ## Indicadores de Detecção - Scripts com alta proporção de variáveis de nome aleatório (e.g., `$aXf3`, `$k9pQ`) seguidos de atividade de rede - Binários com entropia elevada (>7.5) executados de diretórios temporários - Processos com linha de comando extremamente longa contendo blocos de dados ofuscados - Execução de scripts seguida imediatamente de injeção de processo ou conexão C2 - Loops ou funções NOP em scripts interpretados sem propósito funcional aparente - Uso de `Invoke-Expression` com conteúdo gerado dinâmicamente ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027-obfuscated-files-or-information]] — técnica primária - [[T1027.002-software-packing]] — empacotamento relacionado à ofuscação - [[t1059-command-and-scripting-interpreter|T1059-command-and-scripting-interpreter]] — interpretadores usados para executar código ofuscado - [[t1140-deobfuscate-decode]] — deofuscação em runtime - [[t1620-reflective-code-loading|T1620-reflective-code-loading]] — carregamento reflexivo após deofuscação ## Analytics Relacionadas - [[an0913-analytic-0913|AN0913 — Analytic 0913]] - [[an0914-analytic-0914|AN0914 — Analytic 0914]] - [[an0915-analytic-0915|AN0915 — Analytic 0915]] --- *Fonte: [MITRE ATT&CK — DET0322](https://attack.mitre.org/detectionstrategies/DET0322)*