det0478-user-execution-multi-surface-behavior-chain-documentslinks-helperunpacke

# DET0478 — User Execution – multi-surface behavior chain (documents/links → helper/unpacker → LOLBIN/child → egress) ## Descrição Esta estratégia aborda a detecção de cadeias de comportamento multi-estágio desencadeadas por execução de usuário ([[t1204-user-execution|T1204]]). O padrão cobre o fluxo completo desde a abertura de documentos ou links maliciosos, passando pela invocação de aplicativos auxiliares ou descompactadores, até a execução de LOLBINs (Living Off The Land Binaries) ou processos filhos suspeitos com comunicação de saída (egress). Essa abordagem é característica de campanhas de phishing sofisticadas, frequentemente utilizadas por grupos como [[g0016-apt29|APT29]], [[ta505|TA505]] e operadores de acesso inicial. O foco da estratégia é correlacionar a cadeia completa de execução: processo pai (Word, Excel, navegador, cliente de e-mail) → processo intermediário (mshta, wscript, certutil, regsvr32) → processo filho malicioso → comunicação de rede de saída. Cada elo da cadeia individualmente pode parecer legítimo; a detecção eficaz requer correlação temporal entre os eventos para identificar o padrão completo. Ferramentas como [[s0154-cobalt-strike|Cobalt Strike]], [[s0650-qakbot|QakBot]] e [[s0367-emotet|Emotet]] tipicamente exploram esse padrão de execução em suas fases iniciais de comprometimento. Ambientes com visibilidade em process creation events (Sysmon Event ID 1), network connections (Event ID 3) e script block logging têm maior capacidade de detectar essa cadeia de comportamento. ## Indicadores de Detecção - Aplicação Office ou PDF reader gerando processos filhos de script (wscript, cscript, mshta, powershell) - Navegador ou cliente de e-mail iniciando download e execução imediata de arquivos executáveis - LOLBINs (certutil, regsvr32, msiexec, rundll32) invocados por processos de produtividade do usuário - Processo filho executando operações de reconhecimento (`whoami`, `ipconfig`, `net`) logo após a abertura de documento - Conexão de rede de saída para IP/domínio externo nos primeiros 60 segundos após execução de documento - Arquivos descompactados em diretórios temporários seguidos de execução imediata - Macros Office habilitadas em documentos recebidos por e-mail de remetentes externos ## Técnicas Relacionadas - [[t1204-user-execution|T1204 — User Execution]] - [[t1566-phishing|T1566 — Phishing]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] ## Analytics Relacionadas - [[an1314-analytic-1314|AN1314 — Analytic 1314]] - [[an1315-analytic-1315|AN1315 — Analytic 1315]] - [[an1316-analytic-1316|AN1316 — Analytic 1316]] - [[an1317-analytic-1317|AN1317 — Analytic 1317]] - [[an1318-analytic-1318|AN1318 — Analytic 1318]] --- *Fonte: [MITRE ATT&CK — DET0478](https://attack.mitre.org/detectionstrategies/DET0478)*