det0392-multi-platform-software-discovery-behavior-chain

# DET0392 — Multi-Platform Software Discovery Behavior Chain ## Descrição A descoberta de software instalado é uma técnica de reconhecimento interno onde o adversário enumera aplicações, versões e componentes de software presentes no sistema comprometido para identificar: vulnerabilidades conhecidas em versões desatualizadas, ferramentas de segurança a serem evasidas ou desativadas, software corporativo que revela o setor ou função da organização, e ferramentas de desenvolvimento ou administração que podem ser abusadas. Essa técnica é multiplataforma e emprega mecanismos distintos por OS. No Windows, a enumeração ocorre via registro (`HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall`), WMI (`Win32_Product`), PowerShell (`Get-Package`, `winget list`), e leitura direta de diretórios de instalação. No Linux, usa-se `dpkg -l`, `rpm -qa`, `apt list --installed`, e leitura de `/var/lib/dpkg/info/`. No macOS, utiliza-se `system_profiler SPApplicationsDataType`, `pkgutil --pkgs`, e leitura de `/Applications/`. Frameworks de post-exploitation como [[Metasploit]] e [[s0154-cobalt-strike|Cobalt Strike]] possuem módulos específicos para cada plataforma que executam toda essa enumeração automaticamente. A estratégia de detecção identifica a cadeia comportamental de software discovery correlacionando execução de múltiplos utilitários de enumeração em sequência rápida, queries WMI a `Win32_Product` (lenta e incomum em operações legítimas), e leitura de chaves de registro de instalação de software por processos não-administrativos. ## Indicadores de Detecção - Query WMI `SELECT * FROM Win32_Product` por processo não-administrativo (lenta e raramente usada legitimamente) - `Get-ItemProperty HKLM:\Software\*\*\Uninstall\*` em PowerShell fora de contexto de inventário - `dpkg -l` ou `rpm -qa` executados por conta de usuário comum em contexto não-administrativo Linux - `system_profiler SPApplicationsDataType` em macOS fora de processo de MDM/gestão corporativa - Leitura sequencial de múltiplos subkeys de `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\` - Múltiplos utilitários de enumeração de software executados em sequência em < 60 segundos (automação) ## Técnicas Relacionadas - [[t1518-software-discovery|T1518 — Software Discovery]] - [[T1518001-security-software-discovery|T1518.001 — Security Software Discovery]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[T1592002-software|T1592.002 — Software]] - [[t1057-process-discovery|T1057 — Process Discovery]] ## Analytics Relacionadas - [[an1100-analytic-1100|AN1100 — Analytic 1100]] - [[an1101-analytic-1101|AN1101 — Analytic 1101]] - [[an1102-analytic-1102|AN1102 — Analytic 1102]] - [[an1103-analytic-1103|AN1103 — Analytic 1103]] - [[an1104-analytic-1104|AN1104 — Analytic 1104]] --- *Fonte: [MITRE ATT&CK — DET0392](https://attack.mitre.org/detectionstrategies/DET0392)*