det0391-detection-strategy-for-runtime-data-manipulation

# DET0391 — Detection Strategy for Runtime Data Manipulation ## Descrição A manipulação de dados em tempo de execução é uma técnica de impacto onde adversários modificam dados enquanto estão sendo processados por aplicações, sistemas de banco de dados ou pipelines de dados, com o objetivo de corromper resultados, alterar registros financeiros, manipular logs de auditoria, ou comprometer a integridade de sistemas críticos. Diferentemente da manipulação de dados armazenados (em repouso), a manipulação em runtime ocorre durante o processamento ativo e pode ser mais difícil de detectar, pois as modificações podem não persistir em disco de forma óbvia. Técnicas específicas incluem: injeção de SQL dinâmica em transações ativas, modificação de valores em memória de processos de banco de dados, hooking de funções de bibliotecas para alterar retornos de operações de dados, e manipulação de filas de mensagens em pipelines de processamento. Em contexto financeiro, esse tipo de ataque pode alterar valores de transações, beneficiários, ou balancetes — vetores utilizados por grupos de fraude financeira avançada que afetam bancos brasileiros. Grupos como [[g0032-lazarus-group|Lazarus Group]] utilizaram manipulação de dados em ataques ao sistema SWIFT para alterar instruções de transferência. A estratégia monitora discrepâncias entre dados em memória e valores persistidos em disco/banco, anomalias em logs de transação de banco de dados, e comportamento de processos que realizam leitura seguida de escrita de dados sem lógica de negócio correspondente. ## Indicadores de Detecção - Processo modificando memória de outro processo de banco de dados (SQL Server, Oracle, PostgreSQL) - Discrepância entre dados auditados em log de transação e valores finais no banco de dados - Queries DML (UPDATE, DELETE) executadas fora de horário comercial por contas de serviço - Modificação de registros de auditoria ou logs de sistema por processos não-autorizados - Hook de biblioteca de banco de dados detectado (ex: `libpq`, `mysql_client`) por processo suspeito - Alterações em tabelas financeiras críticas sem correspondência em sistema de tickets de mudança ## Técnicas Relacionadas - [[T1565001-stored-data-manipulation|T1565.001 — Stored Data Manipulation]] - [[T1565002-transmitted-data-manipulation|T1565.002 — Transmitted Data Manipulation]] - [[T1565003-runtime-data-manipulation|T1565.003 — Runtime Data Manipulation]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] ## Analytics Relacionadas - [[an1097-analytic-1097|AN1097 — Analytic 1097]] - [[an1098-analytic-1098|AN1098 — Analytic 1098]] - [[an1099-analytic-1099|AN1099 — Analytic 1099]] --- *Fonte: [MITRE ATT&CK — DET0391](https://attack.mitre.org/detectionstrategies/DET0391)*