det0344-detection-strategy-for-fileless-storage-via-registry-wmi-and-shared-memo

# DET0344 — Detection Strategy for Fileless Storage via Registry, WMI, and Shared Memory ## Descrição Esta estratégia detecta malware fileless que armazena payloads e código malicioso em locais não-arquivo — registro do Windows, repositório WMI (WMI event subscriptions, MOF files), memória compartilhada e named pipes — evitando a gravação de arquivos em disco e contornando soluções de AV tradicionais baseadas em varredura de arquivos. A técnica [[t1112-modify-registry|T1112-modify-registry]] e [[T1546.003-windows-management-instrumentation-event-subscription]] são centrais neste contexto. A detecção requer telemetria de operações de registro (leitura/escrita de valores grandes em chaves atípicas), monitoramento de inscrições WMI (criação de `EventFilter`, `EventConsumer`, `FilterToConsumerBinding`), e análise de memória de processos para identificar regiões executáveis não mapeadas em arquivos de disco. Malware como PowerSploit, Empire e Cobalt Strike em modo fileless, além de backdoors como SUNBURST, utilizam extensivamente armazenamento no registro e WMI. Em LATAM, variantes de trojans bancários sem arquivo que persistem via WMI foram documentadas em ataques a bancos brasileiros. ## Indicadores de Detecção - Criação de `__EventFilter`, `CommandLineEventConsumer` ou `ActiveScriptEventConsumer` em WMI - Chaves de registro em `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon` ou `Run` com valores Base64 longos - PowerShell carregando scripts diretamente do registro (ex: `(Get-ItemProperty HKCU:\...).Value | IEX`) - Valores de registro >4KB com alta entropia em chaves atípicas - Named pipes com nomes aleatórios criados por processos de sistema legítimos - Regiões de memória executável em processos sem módulo de arquivo correspondente (shellcode in memory) ## Técnicas Relacionadas - [[t1112-modify-registry|T1112-modify-registry]] — armazenamento de payload no registro - [[T1546.003-windows-management-instrumentation-event-subscription]] — persistência via WMI - [[t1059-001-powershell]] — PowerShell frequentemente usado para carregar payloads fileless - [[t1055-process-injection|T1055-process-injection]] — injeção em memória de outros processos - [[t1027-obfuscated-files-or-information|T1027-obfuscated-files-or-information]] — payload armazenado em formato codificado/cifrado ## Analytics Relacionadas - [[an0973-analytic-0973|AN0973 — Analytic 0973]] - [[an0974-analytic-0974|AN0974 — Analytic 0974]] --- *Fonte: [MITRE ATT&CK — DET0344](https://attack.mitre.org/detectionstrategies/DET0344)*