det0330-detection-strategy-for-t1546016-event-triggered-execution-via-installer-

# DET0330 — Detection Strategy for T1546.016 - Event Triggered Execution via Installer Packages ## Descrição Esta estratégia detecta o abuso de pacotes de instalação (MSI, PKG, DEB, RPM) para estabelecer persistência via execução disparada por eventos do sistema — como instalação, atualização ou remoção de software. A técnica [[T1546.016-installer-packages]] permite que adversários embutes scripts ou executáveis maliciosos em pacotes legítimos, que são invocados pelo sistema durante operações de instalação com privilégios elevados. A detecção foca em pacotes de instalação com scripts de pré/pós-instalação suspeitos, especialmente quando executados em contextos não-administrativos ou a partir de fontes não verificadas. Em Windows, o monitoramento de `msiexec.exe` gerando processos filhos incomuns é central. Em macOS e Linux, scripts `preinstall`, `postinstall` e arquivos `preinst`/`postinst` em pacotes são os vetores. Esta técnica foi observada em ataques à cadeia de suprimentos de software, onde adversários comprometem repositórios de pacotes ou interceptam o processo de atualização para inserir código malicioso que persiste via mecanismo de instalação do SO. ## Indicadores de Detecção - `msiexec.exe` gerando processos filhos (powershell.exe, cmd.exe, wscript.exe) durante instalação - Scripts `preinstall`/`postinstall` em pacotes .pkg (macOS) executando curl, wget ou bash com URLs externas - Arquivos `preinst`/`postinst` em pacotes .deb ou .rpm contendo comandos de persistência (cron, systemd) - Pacotes MSI instalados de caminhos temporários ou de rede sem assinatura digital válida - Processos `installer` (macOS) ou `dpkg`/`rpm` gerando conexões de rede durante instalação - Instalação de pacotes fora de janelas de manutenção programada por contas de serviço ## Técnicas Relacionadas - [[T1546.016-installer-packages]] — técnica primária - [[t1546-event-triggered-execution|T1546-event-triggered-execution]] — categoria pai - [[t1195-supply-chain-compromise|T1195-supply-chain-compromise]] — comprometimento de cadeia de suprimentos via pacotes - [[t1059-command-and-scripting-interpreter|T1059-command-and-scripting-interpreter]] — execução de scripts durante instalação - [[t1078-valid-accounts|T1078-valid-accounts]] — uso de credenciais de instalação com privilégios elevados ## Analytics Relacionadas - [[an0938-analytic-0938|AN0938 — Analytic 0938]] - [[an0939-analytic-0939|AN0939 — Analytic 0939]] - [[an0940-analytic-0940|AN0940 — Analytic 0940]] --- *Fonte: [MITRE ATT&CK — DET0330](https://attack.mitre.org/detectionstrategies/DET0330)*