det0378-behavioral-detection-of-obfuscated-files-or-information

# DET0378 — Behavioral Detection of Obfuscated Files or Information ## Descrição A ofuscação de arquivos e informações é uma técnica transversal amplamente utilizada por adversários para evadir detecções baseadas em assinatura e dificultar análise de código malicioso. As técnicas incluem encoding Base64 de scripts e payloads, compressão e empacotamento de executáveis (UPX, packers customizados), criptografia de strings e configurações de malware, uso de linguagens de script com ofuscação nativa (PowerShell `-EncodedCommand`, JavaScript com invocação dinâmica de código), e substituição de caracteres em strings de código. Campanhas de alto impacto que afetam o Brasil rotineiramente distribuem [[RAT]]s e bankers (como [[s0531-grandoreiro|Grandoreiro]], [[mekotio|Mekotio]], [[BRATA]]) com múltiplas camadas de ofuscação para evadir soluções de segurança locais. A cadeia típica envolve um downloader com strings de URL ofuscadas em Base64, que baixa um payload comprimido, que por sua vez descriptografa e injeta o payload final. Cada camada aumenta o custo de análise e reduz a eficácia de assinaturas estáticas. A estratégia de detecção combina análise de entropia de arquivos (alta entropia indica possível criptografia ou compressão), detecção de chamadas a funções de decode/decrypt antes de execução de código, análise de argumentos de linha de comando em busca de Base64 e outras encodings, e comportamento de processo pós-deobfuscação como conexões de rede e criação de processos. ## Indicadores de Detecção - Arquivo executável com entropia Shannon acima de 7.0 (indicativo de packing ou criptografia) - PowerShell com argumento `-EncodedCommand` ou `-e` seguido de string Base64 com mais de 100 caracteres - `cmd.exe /c certutil -decode` ou `certutil -urlcache -f` executado por processos não-administrativos - Script JavaScript ou VBScript com invocação dinâmica de código via funções de decode encadeadas - Sequência: leitura de arquivo com extensão incomum + decode Base64 + criação de processo filho - `[System.Convert]::FromBase64String` chamado em PowerShell seguido de invocação de assembly .NET ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[T1027002-software-packing|T1027.002 — Software Packing]] - [[t1140-deobfuscate-decode|T1140 — Deobfuscaté/Decode Files or Information]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1622-debugger-evasion|T1622 — Debugger Evasion]] ## Analytics Relacionadas - [[an1064-analytic-1064|AN1064 — Analytic 1064]] - [[an1065-analytic-1065|AN1065 — Analytic 1065]] - [[an1066-analytic-1066|AN1066 — Analytic 1066]] - [[an1067-analytic-1067|AN1067 — Analytic 1067]] - [[an1068-analytic-1068|AN1068 — Analytic 1068]] --- *Fonte: [MITRE ATT&CK — DET0378](https://attack.mitre.org/detectionstrategies/DET0378)*