# DET0324 — Detection Strategy for Polymorphic Code Mutation and Execution ## Descrição Esta estratégia detecta malware polimórfico — código que se auto-modifica a cada execução para gerar hashes únicos e evadir detecção baseada em assinatura. A técnica [[t1027-obfuscated-files-or-information|T1027-obfuscated-files-or-information]] em sua forma polimórfica envolve motores de mutação que reescrevem porções do código mantendo a funcionalidade original, tornando ineficaz a comparação de hashes estáticos. A detecção eficaz depende de análise comportamental em tempo de execução, sandboxing com análise dinâmica e monitoramento de criação de arquivos executáveis por outros executáveis. Indicadores de runtime como injeção de memória, alocação de memória executável e criação de processos filhos suspeitos são mais confiáveis do que hash do arquivo pai. Famílias de malware como Emotet, TrickBot e variantes de ransomware LATAM utilizam polimorfismo para garantir que cada amostra distribuída sejá única. A combinação de YARA comportamental (baseado em strings funcionais, não em bytes exatos) com heurísticas de EDR oferece melhor cobertura. ## Indicadores de Detecção - Processos criando novos executáveis em diretórios temporários e imediatamente executando-os - Alocação de memória RWX (leitura/escrita/execução) por processos não-compiladores - Sequência de: download de arquivo → drop em temp → execução → arquivo original deletado - Múltiplos arquivos com nomes aleatórios em curto intervalo de tempo com comportamento idêntico de rede - Uso de API `WriteProcessMemory` seguido de `CreateRemoteThread` - Hashes de processo divergentes em execuções repetidas do "mesmo" malware ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027-obfuscated-files-or-information]] — técnica primária (polimorfismo como forma de ofuscação) - [[T1027.002-software-packing]] — empacotamento frequentemente combinado com polimorfismo - [[t1055-process-injection|T1055-process-injection]] — injeção de código polimórfico em processos legítimos - [[t1140-deobfuscate-decode]] — decodificação do payload polimórfico em memória - [[t1036-masquerading|T1036-masquerading]] — identidade falsa do executável mutado ## Analytics Relacionadas - [[an0919-analytic-0919|AN0919 — Analytic 0919]] - [[an0920-analytic-0920|AN0920 — Analytic 0920]] - [[an0921-analytic-0921|AN0921 — Analytic 0921]] --- *Fonte: [MITRE ATT&CK — DET0324](https://attack.mitre.org/detectionstrategies/DET0324)*