det0493-detect-abuse-of-inter-process-communication-t1559

# DET0493 — Detect Abuse of Inter-Process Commúnication (T1559) ## Descrição O abuso de mecanismos de comunicação entre processos (IPC) é uma técnica que adversários utilizam para executar código malicioso aproveitando canais de comunicação legítimos do sistema operacional, como Component Object Model (COM), Dynamic Data Exchange (DDE), pipes nomeados e XPC Services no macOS. Esses mecanismos permitem injeção de código e execução de comandos em processos alvo sem necessidade de técnicas de injeção de memória tradicionais. A técnica é mapeada como [[t1559-inter-process-communication|T1559]] no MITRE ATT&CK. O abuso de IPC é especialmente valioso para adversários porque opera dentro de funcionalidades legítimas do sistema operacional, frequentemente evitando soluções de segurança que focam em criação de processos convencionais ou modificação de memória. COM objects podem ser usados para instanciar shells, executar scripts ou carregar DLLs em processos de alta integridade. Malwares como [[s0367-emotet|Emotet]] e [[s0266-trickbot|TrickBot]] utilizam COM IPC para propagação e execução de payloads adicionais. A detecção foca em padrões anômalos de uso de IPC: invocações COM por processos que normalmente não usam esses mecanismos, comunicação via pipe nomeado entre processos de diferentes níveis de integridade, e uso de DDE em documentos Office para execução de código. A correlação entre o processo cliente (que inicia a comunicação IPC) e o processo servidor (que executa o código) revela cadeias de execução maliciosas. ## Indicadores de Detecção - Processo de baixa integridade invocando objeto COM registrado em contexto de alta integridade para execução de código - Comúnicação via named pipe entre processo de shell remoto e processo de aplicação legítima - Uso de DDE para execução de comandos em documentos Office (detecção via Event ID de criação de processo filho) - Objeto COM instanciado fora do horário de uso normal da aplicação host (ex: Word instanciando objeto de execução à meia-noite) - Pipe nomeado com nome que imita pipes de sistema legítimos (`\\.\\pipe\\lsass`, `\\.\\pipe\\svcctl` com variações) - XPC Service no macOS sendo utilizado por aplicação sandbox para executar código fora dos limites do sandbox - Sequência de GetObject/CoCreateInstance por processo suspeito seguida de execução de payload ## Técnicas Relacionadas - [[t1559-inter-process-communication|T1559 — Inter-Process Commúnication]] - [[T1559.001-inter-process-communication-com|T1559.001 — COM]] - [[T1559.002-inter-process-communication-dde|T1559.002 — DDE]] - [[t1055-process-injection|T1055 — Process Injection]] - [[T1546.015-event-triggered-execution-component-object-model-hijacking|T1546.015 — COM Hijacking]] ## Analytics Relacionadas - [[an1357-analytic-1357|AN1357 — Analytic 1357]] - [[an1358-analytic-1358|AN1358 — Analytic 1358]] - [[an1359-analytic-1359|AN1359 — Analytic 1359]] --- *Fonte: [MITRE ATT&CK — DET0493](https://attack.mitre.org/detectionstrategies/DET0493)*