det0496-behavior-chain-detection-for-remote-access-tools-tool-agnostic

# DET0496 — Behavior-Chain Detection for Remote Access Tools (Tool-Agnostic) ## Descrição Ferramentas de acesso remoto (RATs e implants de C2) exibem padrões comportamentais comuns independentemente da família de malware específica: estabelecimento de conexão persistente de saída para infraestrutura de C2, execução de comandos recebidos remotamente, coleta e transmissão de informações do sistema, e download/execução de payloads adicionais. Esta estratégia de detecção focada em comportamento (tool-agnostic) é mais resiliente a variações de implementação e capacitada para detectar RATs desconhecidos. A técnica está associada a [[t1219-remote-access-tools|T1219 — Remote Access Software]] e ao uso de C2 implants no MITRE ATT&CK. A cadeia de comportamento detectável para RATs inclui: processo persistente com baixo consumo de CPU/memória → conexão periódica de saída para IP/domínio externo (heartbeat de C2) → recebimento de comandos e execução (criação de processos filhos ou operações de sistema) → possível download de módulos adicionais (DLLs, scripts). Ferramentas como [[s0154-cobalt-strike|Cobalt Strike]], [[metasploit|Metasploit]], [[s0385-njrat|njRAT]] e [[s1087-asyncrat|AsyncRAT]] seguem variações desse padrão. O aspecto agnóstico de ferramenta é alcançado correlacionando múltiplos indicadores comportamentais em vez de assinaturas estáticas: padrões de beacon (intervalos regulares de comunicação de rede), uso de canais encobertos (HTTP/S, DNS), execução de comandos de sistema por processos sem histórico de tal comportamento e transferência de dados em formatos codificados (base64, custom encoding) para IPs de baixa reputação. ## Indicadores de Detecção - Processo com padrão de comunicação de rede em intervalos regulares (beacon) para IP/domínio externo - Processo pai incomum executando sequência de comandos de reconhecimento (whoami, ipconfig, systeminfo) periodicamente - Download e execução de DLL ou PE a partir de URL externa por processo não relacionado a instalação de software - Conexão HTTPS para IP em ASN de hosting barato/bulletproof com certificado auto-assinado ou de CA incomum - Processo residente em memória por período prolongado com I/O mínimo mas conexões de rede periódicas - Transmissão de dados codificados em base64 ou formato custom via HTTP POST para C2 - Criação de scheduled task ou entrada de registry de startup por processo sem histórico de persistência ## Técnicas Relacionadas - [[t1219-remote-access-tools|T1219 — Remote Access Software]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] - [[t1095-non-application-layer-protocol|T1095 — Non-Application Layer Protocol]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] ## Analytics Relacionadas - [[an1366-analytic-1366|AN1366 — Analytic 1366]] - [[an1367-analytic-1367|AN1367 — Analytic 1367]] - [[an1368-analytic-1368|AN1368 — Analytic 1368]] --- *Fonte: [MITRE ATT&CK — DET0496](https://attack.mitre.org/detectionstrategies/DET0496)*