det0331-detection-strategy-for-listplanting-injection-on-windows

# DET0331 — Detection Strategy for ListPlanting Injection on Windows ## Descrição Esta estratégia detecta ListPlanting — uma técnica de injeção de código em Windows que explora controles de lista (ListView, ComboBox) para plantar ponteiros de função maliciosos na memória de processos alvo. A técnica [[t1055-process-injection|T1055-process-injection]] via ListPlanting abusa de mensagens de janela (`WM_SETREDRAW`, `SendMessage`) para redirecionar o fluxo de execução de processos legítimos sem uso de APIs de injeção tradicionais como `WriteProcessMemory`. Por não utilizar as APIs de injeção mais monitoradas, ListPlanting pode evadir detecções baseadas em regras tradicionais de EDR. A detecção requer monitoramento de chamadas de API de baixo nível (`NtUserSendMessage`, `GetWindowLongPtr`, `SetWindowLongPtr`) e análise de comportamento de memória — em especial quando memória executável é modificada em processos de sistema. A técnica foi documentada em pesquisas de segurança como alternativa evasiva a técnicas clássicas como DLL injection e process hollowing, e pode ser encontrada em implantes de APT sofisticados que buscam contornar soluções de EDR de última geração. ## Indicadores de Detecção - Chamadas a `SetWindowLongPtr` com `GWL_USERDATA` ou `GWL_WNDPROC` para modificar ponteiros de janela - `SendMessage` ou `PostMessage` com mensagens incomuns (`WM_SETREDRAW`, `WM_NCDESTROY`) para janelas de outros processos - Alocação de memória seguida de modificação de WNDPROC de controles de lista em processos remotos - `GetWindowLong` combinado com `VirtualAllocEx` em sequência para o mesmo processo alvo - Processos legítimos (explorer.exe, calc.exe) executando código não mapeado em módulo legítimo - `NtCreateThreadEx` ou `RtlCreateUserThread` em contexto de controles de janela ## Técnicas Relacionadas - [[t1055-process-injection|T1055-process-injection]] — técnica primária (ListPlanting como sub-variante) - [[T1055.001-dll-injection]] — injeção clássica frequentemente alternada com ListPlanting - [[T1055.012-process-hollowing]] — outra técnica de injeção sofisticada - [[t1106-native-api|T1106-native-api]] — uso de APIs nativas para injeção evasiva - [[t1036-masquerading|T1036-masquerading]] — código malicioso executado no contexto de processo legítimo ## Analytics Relacionadas - [[an0941-analytic-0941|AN0941 — Analytic 0941]] --- *Fonte: [MITRE ATT&CK — DET0331](https://attack.mitre.org/detectionstrategies/DET0331)*