det0443-detection-strategy-for-masquerading-via-breaking-process-trees

# DET0443 — Detection Strategy for Masquerading via Breaking Process Trees ## Descrição Adversários manipulam a árvore de processos do sistema operacional para ocultar a origem real de processos maliciosos, tornando-os aparentemente legítimos aos olhos de ferramentas de monitoramento que dependem de relações pai-filho entre processos. Ao "quebrar" a árvore de processos — sejá via injeção de código, uso de serviços intermediários ou manipulação de atributos de criação de processo — o malware pode fazer com que seu processo filho apareça como filho de um processo legítimo do sistema. Técnicas como Process Hollowing, Parent PID Spoofing (`PROC_THREAD_ATTRIBUTE_PARENT_PROCESS`) e uso de serviços Windows como intermediários são empregadas para desassociar o processo malicioso de seu verdadeiro processo pai. Isso compromete análises de causalidade em SIEMs e EDRs que rastreiam linhagens de processos para identificar comportamento anômalo. A estratégia de detecção requer correlação entre o PPID declarado de um processo e o processo que realmente o criou (conforme registrado por fontes como ETW e Sysmon), identificação de discrepâncias entre `ParentProcessId` e a árvore real de criação, e monitoramento de uso da API `UpdateProcThreadAttribute` para alteração de PPID. ## Indicadores de Detecção - Processo com PPID declarado apontando para processo que não está mais em execução ou foi encerrado antes da criação do filho - Uso de `CreateProcess` com `PROC_THREAD_ATTRIBUTE_PARENT_PROCESS` definido para processo diferente do pai real - Processo legítimo do sistema (ex: `explorer.exe`, `svchost.exe`) com filho inesperado de alta entropia ou sem assinatura - Discrepância entre PPID no evento de criação de processo e o processo registrado como pai no ETW - Injeção em processo intermediário legítimo imediatamente antes da criação de processo filho suspeito - Sysmon evento 1 com `ParentImage` de processo de sistema, mas `CommandLine` altamente suspeita ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] - [[T1134004-parent-pid-spoofing|T1134.004 — Parent PID Spoofing]] - [[t1055-process-injection|T1055 — Process Injection]] - [[T1055012-process-hollowing|T1055.012 — Process Hollowing]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1562-001-disable-or-modify-tools|T1562.001 — Disable or Modify Tools]] ## Analytics Relacionadas - [[an1223-analytic-1223|AN1223 — Analytic 1223]] - [[an1224-analytic-1224|AN1224 — Analytic 1224]] --- *Fonte: [MITRE ATT&CK — DET0443](https://attack.mitre.org/detectionstrategies/DET0443)*