det0347-detection-strategy-for-masquerading-via-legitimate-resource-name-or-loca

# DET0347 — Detection Strategy for Masquerading via Legitimaté Resource Name or Location ## Descrição Esta estratégia detecta o mascaramento de recursos maliciosos — arquivos, processos, serviços — usando nomes ou localizações associadas a recursos legítimos do sistema. A técnica [[t1036-masquerading|T1036-masquerading]] inclui nomear malware como `svchost.exe`, `explorer.exe`, `lsass.exe`, colocar executáveis maliciosos em caminhos do sistema (C:\Windows\System32) e usar nomes de serviço similares a serviços legítimos (typosquatting de nomes). A detecção correlaciona nome de arquivo/processo com caminho de execução, assinatura digital e comportamento. Um processo chamado `svchost.exe` mas executando de `C:\Temp\` ou sem assinatura da Microsoft é um sinal claro de mascaramento. Em serviços, nomes visualmente similares a serviços legítimos (ex: `WinDefend` vs `WinDef3nd`) em caminhos de imagem não-padrão são indicadores. Esta técnica é universal — presente em ransomware, RATs e APTs de todos os níveis. Ferramentas como Autoruns e análise de parent-child process podem revelar mascaramento que passa despercebido em análise superficial de nome de processo. ## Indicadores de Detecção - Processo com nome de binário do sistema (svchost.exe, explorer.exe) executando de caminho não-padrão - Executável sem assinatura digital válida com nome idêntico a processo de sistema legítimo - Serviço do Windows com nome similar a serviço legítimo mas imagem em caminho de usuário - Parent process incomum para binário de sistema (ex: `svchost.exe` cujo pai não é `services.exe`) - Arquivos em `C:\Windows\System32` ou `/usr/bin` com hash diferente do original do SO - Nomes de arquivo com caracteres homóglifos (Cyrillic, Latin look-alikes) imitando binários do sistema ## Técnicas Relacionadas - [[t1036-masquerading|T1036-masquerading]] — técnica primária - [[T1036.001-invalid-code-signature]] — assinatura inválida em processo mascarado - [[T1036.003-rename-system-utilities]] — renomeação de utilitários do sistema - [[T1036.005-match-legitimate-name-or-location]] — nome ou localização legítima como disfarce - [[t1574-hijack-execution-flow|T1574-hijack-execution-flow]] — sequestro de execução relacionado ao mascaramento ## Analytics Relacionadas - [[an0983-analytic-0983|AN0983 — Analytic 0983]] - [[an0984-analytic-0984|AN0984 — Analytic 0984]] - [[an0985-analytic-0985|AN0985 — Analytic 0985]] - [[an0986-analytic-0986|AN0986 — Analytic 0986]] - [[an0987-analytic-0987|AN0987 — Analytic 0987]] --- *Fonte: [MITRE ATT&CK — DET0347](https://attack.mitre.org/detectionstrategies/DET0347)*