det0474-environmental-keying-discovery-to-decryption-behavioral-chain-detection-

# DET0474 — Environmental Keying Discovery-to-Decryption Behavioral Chain Detection Strategy ## Descrição Environmental Keying é uma técnica de evasão avançada em que malware cifra seus payloads utilizando informações específicas do ambiente alvo como chave de decriptação — como o hostname, UUID do sistema, endereço MAC, SID do domínio ou outros identificadores únicos do ambiente. O malware só consegue decriptar e executar seu payload completo quando está rodando no ambiente para o qual foi específicamente preparado, tornando análise em sandbox genérica ineficaz. Essa técnica é utilizada por APTs sofisticados para garantir que amostras de malware capturadas por pesquisadores ou sandboxes automatizadas não possam ser analisadas fora do ambiente alvo. A detecção baseada em cadeia comportamental identifica a sequência característica: descoberta de informações do sistema (hostname, SID, MAC) → computação criptográfica (hash ou derivação de chave) → decriptação e execução de payload em memória. A correlação dessa cadeia de eventos — especialmente quando o payload decriptado não corresponde a nenhuma assinatura conhecida e é executado diretamente em memória — é um forte indicador de malware sofisticado utilizando environmental keying para evasão de sandboxes. ## Indicadores de Detecção - Sequência: `GetComputerName`/`GetSystemInfo` → `CryptHashData`/`CryptDeriveKey` → `VirtualAlloc` → execução em memória - Processo coletando múltiplos identificadores de sistema (hostname, MAC, SID, UUID) em rápida sequência sem justificativa de aplicação - Cálculo de hash MD5/SHA256 de string que corresponde a informação de sistema coletada imediatamente antes - Execução de shellcode em memória alocada após operações criptográficas dependentes de dados de ambiente - Arquivo PE que não decripta ou executa corretamente fora do sistema alvo (detectado via sandbox com fingerprint de ambiente) - Uso de WMI ou `GetEnvironmentVariable` para coletar múltiplos atributos de ambiente antes de operação de decriptação ## Técnicas Relacionadas - [[T1480001-environmental-keying|T1480.001 — Environmental Keying]] - [[t1480-execution-guardrails|T1480 — Execution Guardrails]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] ## Analytics Relacionadas - [[an1305-analytic-1305|AN1305 — Analytic 1305]] - [[an1306-analytic-1306|AN1306 — Analytic 1306]] - [[an1307-analytic-1307|AN1307 — Analytic 1307]] --- *Fonte: [MITRE ATT&CK — DET0474](https://attack.mitre.org/detectionstrategies/DET0474)*