det0489-behavior-chain-detection-for-t1134004-access-token-manipulation-parent-p

# DET0489 — Behavior-chain detection for T1134.004 Access Token Manipulation: Parent PID Spoofing (Windows) ## Descrição O Parent PID Spoofing é uma técnica de evasão de defesas em que adversários manipulam o Process Environment Block (PEB) ao criar um novo processo para que ele apareça como filho de um processo legítimo diferente do processo real que o criou. Usando a API `UpdateProcThreadAttribute` com `PROC_THREAD_ATTRIBUTE_PARENT_PROCESS`, um malware pode fazer seu payload parecer filho do `explorer.exe` ou `svchost.exe` mesmo sendo iniciado por um processo suspeito. Essa técnica é classificada como [[T1134.004-access-token-manipulation-parent-pid-spoofing|T1134.004]] no MITRE ATT&CK. A detecção via cadeia de comportamento requer correlação entre o processo real criador (identificado por handles de processo abertos imediatamente antes da criação) e o processo pai declarado. Ferramentas EDR com visibilidade em chamadas de kernel (`NtCreateUserProcess` com atributos de processo) conseguem identificar a discrepância entre o PPID declarado e o processo real de criação. Ferramentas como [[s0154-cobalt-strike|Cobalt Strike]] (beacon spawn) e [[metasploit|Metasploit]] incluem módulos de Parent PID Spoofing. A análise de árvores de processos revela o spoofing quando o processo filho apresenta comportamento incompatível com o processo pai declarado: um processo filho do `explorer.exe` que realiza operações de rede ou modifica o registro de forma análoga a malware, quando o explorer não tem histórico de tais ações, é um forte indicador. A correlação com outros eventos de segurança contemporâneos aumenta a fidelidade. ## Indicadores de Detecção - Processo criado com PPID diferente do processo real que abriu o handle de criação (detecção via ETW/EDR) - Processo filho do `explorer.exe` ou `svchost.exe` executando operações de rede de saída não características - Discrepância entre o PPID declarado no PEB e o processo real identificado por auditoria de handles - Processo com linhagem de `explorer.exe` realizando operações de injeção de código em outros processos - Uso de `UpdateProcThreadAttribute` com atributo `PROC_THREAD_ATTRIBUTE_PARENT_PROCESS` por processo não privilegiado - Processo filho com nível de integridade inconsistente com o do processo pai declarado - Criação de processo de alta integridade a partir de processo pai de baixa integridade via spoofing ## Técnicas Relacionadas - [[T1134.004-access-token-manipulation-parent-pid-spoofing|T1134.004 — Parent PID Spoofing]] - [[t1134-access-token-manipulation|T1134 — Access Token Manipulation]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1036-masquerading|T1036 — Masquerading]] - [[T1562.001-impair-defenses-disable-or-modify-tools|T1562.001 — Disable or Modify Tools]] ## Analytics Relacionadas - [[an1351-analytic-1351|AN1351 — Analytic 1351]] --- *Fonte: [MITRE ATT&CK — DET0489](https://attack.mitre.org/detectionstrategies/DET0489)*