det0422-detection-strategy-for-ifeo-injection-on-windows

# DET0422 — Detection Strategy for IFEO Injection on Windows ## Descrição Image File Execution Options (IFEO) é uma funcionalidade do Windows originalmente projetada para debugging de aplicativos, permitindo que um "debugger" sejá executado automaticamente antes de qualquer programa específicado. Adversários abusam dessa chave de registro para injetar persistência: ao adicionar um executável malicioso como "debugger" de um processo legítimo (como `svchost.exe`, `notepad.exe` ou ferramentas de segurança), garantem que seu código sejá executado sempre que o processo-alvo for iniciado. A chave relevante é `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\{processo}.exe` com o valor `Debugger` apontando para o payload malicioso. Uma variante da técnica usa o valor `GlobalFlag` combinado com `SilentProcessExit` e `ReportingMode` para executar código quando um processo termina — técnica conhecida como "Silent Process Exit" persistence. Grupos APT como [[g0096-apt41]] e operadores de ransomware sofisticados utilizam IFEO para contornar soluções de segurança (registrando malware como "debugger" do agente de EDR) ou para persistência discreta. A detecção via Sysmon (Event ID 13 — Registry Value Set) monitorando o caminho da chave IFEO é o método mais direto e confiável. ## Indicadores de Detecção - Criação ou modificação do valor `Debugger` em qualquer chave de `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\` - Valor `Debugger` apontando para executáveis em caminhos não-Microsoft ou locais temporários - Configuração de `GlobalFlag` + `SilentProcessExit` + `ReportingMode` em IFEO para processos críticos - Sysmon Event ID 13 registrando modificações em chaves IFEO por processos não-instaladores - Processo filho incomum sendo gerado por processos de sistema que normalmente não têm filhos ## Técnicas Relacionadas - [[T1546012-image-file-execution-options-injection|T1546.012 — Image File Execution Options Injection]] - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1562-001-disable-or-modify-tools|T1562.001 — Disable or Modify Tools]] ## Analytics Relacionadas - [[an1186-analytic-1186|AN1186 — Analytic 1186]] --- *Fonte: [MITRE ATT&CK — DET0422](https://attack.mitre.org/detectionstrategies/DET0422)*