det0451-detection-strategy-for-powershell-profile-persistence-via-profileps1-mod

# DET0451 — Detection Strategy for PowerShell Profile Persistence via profile.ps1 Modification ## Descrição O arquivo `profile.ps1` do PowerShell é um script executado automaticamente toda vez que uma nova sessão PowerShell é iniciada. Adversários que comprometem sistemas Windows com usuários que utilizam PowerShell regularmente podem inserir código malicioso nesse arquivo para garantir execução persistente de payloads sem precisar de mecanismos adicionais de persistência — a execução ocorre de forma invisível dentro de uma sessão legítima de PowerShell. Existem múltiplos arquivos de perfil PowerShell: perfil do usuário atual (`$PROFILE`), perfil de todos os usuários (`$PROFILE.AllUsersAllHosts`), e perfis específicos para hosts PowerShell. A modificação do perfil de todos os usuários é particularmente impactante, pois afeta todas as sessões PowerShell no sistema. Adversários que obtiveram privilégios administrativos podem usar essa técnica para garantir que payloads sejam executados em contexto de qualquer usuário que iniciar uma sessão PowerShell. A detecção envolve monitorar modificações nos caminhos de perfil PowerShell conhecidos, identificar processos que escrevem nesses arquivos fora de contextos de configuração legítimos, e alertar sobre conteúdo suspeito (downloads, execução de base64, conexões de rede) adicionado a perfis existentes. ## Indicadores de Detecção - Modificação de arquivos nos caminhos `$PROFILE`, `%WINDIR%\System32\WindowsPowerShell\v1.0\profile.ps1` ou equivalentes - Escrita em arquivo de perfil PS1 por processo que não sejá editor de texto legítimo ou instalador de módulo - Conteúdo de `profile.ps1` contendo `IEX`, `Invoke-Expression`, `DownloadString`, `EncodedCommand` ou URLs externas - Evento Sysmon 11 (FileCreate) em diretório de perfil PowerShell por processo suspeito - Execução de PowerShell com flag `-NoProfile` após modificação de perfil (indicando evasão de própria persistência) - Novo arquivo `.ps1` criado em diretório `$PSModulePath` com código de inicialização ## Técnicas Relacionadas - [[T1546013-powershell-profile|T1546.013 — PowerShell Profile]] - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[T1059001-powershell|T1059.001 — PowerShell]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] - [[T1547001-registry-run-keys|T1547.001 — Registry Run Keys / Startup Folder]] ## Analytics Relacionadas - [[an1245-analytic-1245|AN1245 — Analytic 1245]] --- *Fonte: [MITRE ATT&CK — DET0451](https://attack.mitre.org/detectionstrategies/DET0451)*