det0439-detection-of-malware-relocation-via-suspicious-file-movement

# DET0439 — Detection of Malware Relocation via Suspicious File Movement ## Descrição A relocação de malware consiste na cópia ou movimentação de um executável malicioso de seu ponto inicial de deposição (drop) para um local mais persistente ou menos inspecionado no sistema de arquivos. Essa técnica é empregada para evitar varreduras antivírus em diretórios temporários e para posicionar o malware em locais com menor visibilidade para ferramentas de segurança, como pastas de sistema, subdiretórios de aplicativos legítimos ou áreas de perfil de usuário. Adversários tipicamente utilizam comandos nativos do sistema operacional (`move`, `copy`, `xcopy`, `robocopy` no Windows; `mv`, `cp` no Linux) ou scripts para realizar essa movimentação logo após a execução inicial. Em muitos casos, o arquivo original é excluído após a cópia, dificultando análises forenses e a correlação com o artefato de entrega original. A estratégia de detecção foca em identificar padrões de cópia/movimentação de executáveis a partir de locais de drop comuns (downloads, temporários, anexos) para caminhos persistentes como `%AppData%`, `%ProgramData%`, `System32` e subpastas de aplicações legítimas. A correlação temporal entre a chegada do arquivo e sua movimentação, combinada com análise de assinatura e reputação, aumenta a precisão da detecção. ## Indicadores de Detecção - Executável copiado de diretório `%TEMP%`, `Downloads` ou `%USERPROFILE%` para `%AppData%`, `%ProgramData%` ou `System32` - Processo pai suspeito (navegador, cliente de email) criando arquivo PE seguido de movimentação para local persistente - Arquivo com hash desconhecido ou sem assinatura digital sendo movimentado para pasta de sistema - Deleção do arquivo fonte imediatamente após cópia para novo destino (padrão move-and-delete) - Uso de `cmd.exe /c copy` ou `powershell Copy-Item` iniciado por processo não administrativo - Evento Sysmon 11 (FileCreate) em pasta persistente seguido de evento 1 (ProcessCreate) do mesmo executável ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1204-user-execution|T1204 — User Execution]] - [[T1070004-file-deletion|T1070.004 — File Deletion]] ## Analytics Relacionadas - [[an1216-analytic-1216|AN1216 — Analytic 1216]] - [[an1217-analytic-1217|AN1217 — Analytic 1217]] - [[an1218-analytic-1218|AN1218 — Analytic 1218]] - [[an1219-analytic-1219|AN1219 — Analytic 1219]] --- *Fonte: [MITRE ATT&CK — DET0439](https://attack.mitre.org/detectionstrategies/DET0439)*