det0508-behavioral-detection-of-process-injection-across-platforms

# DET0508 — Behavioral Detection of Process Injection Across Platforms ## Descrição A injeção de processos é uma das técnicas mais utilizadas por adversários para execução de código malicioso no contexto de processos legítimos, combinando evasão de defesas com escalada de privilégios. No Windows, técnicas incluem DLL Injection, Process Hollowing, Thread Hijacking, APC Injection e Reflective DLL Loading. No Linux, ptrace injection e LD_PRELOAD hijacking são comuns. No macOS, dylib injection e task_for_pid são utilizados. A técnica é mapeada como [[t1055-process-injection|T1055 — Process Injection]] e suas sub-técnicas no MITRE ATT&CK. A detecção multi-plataforma requer visibilidade em chamadas de sistema e APIs de processo: no Windows, eventos de `VirtualAllocEx`, `WriteProcessMemory`, `CreateRemoteThread` e `NtMapViewOfSection` em processos não relacionados são indicadores primários. No Linux, uso de `ptrace()` por processo que não é debugger ou ferramentas de profiling é suspeito. No macOS, chamadas a `task_for_pid()` por processos sem entitlement adequado indicam tentativa de injeção. Ferramentas de pós-exploração como [[s0154-cobalt-strike|Cobalt Strike]] (Process Hollowing, Fork&Run), [[metasploit|Metasploit]] (migraté) e implants customizados de APTs utilizam injeção de processos rotineiramente para manter persistência em processos de alta confiança e evitar detecção. A correlação entre APIs de injeção e comportamento subsequente do processo alvo (novas conexões de rede, criação de arquivos) é essencial para confirmação. ## Indicadores de Detecção - Sequência `VirtualAllocEx` → `WriteProcessMemory` → `CreateRemoteThread` em processo alvo não relacionado - `NtMapViewOfSection` mapeando seção de memória executável em processo de alta integridade por processo externo - Process Hollowing detectado por divergência entre imagem do disco e conteúdo da memória do processo - `ptrace(PTRACE_POKEDATA)` em processo Linux por aplicação que não é `strace`, `gdb` ou ferramenta de profiling - Módulo DLL carregado em processo que não tem histórico de carregar essa DLL (baseline de módulos) - Thread remota criada em `lsass.exe`, `svchost.exe` ou outro processo crítico do sistema por processo de usuário - Processo com comportamento anômalo (novas conexões de rede, escrita de arquivos) após injeção identificada ## Técnicas Relacionadas - [[t1055-process-injection|T1055 — Process Injection]] - [[T1055.001-process-injection-dll-injection|T1055.001 — DLL Injection]] - [[T1055.012-process-injection-process-hollowing|T1055.012 — Process Hollowing]] - [[t1134-access-token-manipulation|T1134 — Access Token Manipulation]] - [[t1036-masquerading|T1036 — Masquerading]] ## Analytics Relacionadas - [[an1399-analytic-1399|AN1399 — Analytic 1399]] - [[an1400-analytic-1400|AN1400 — Analytic 1400]] - [[an1401-analytic-1401|AN1401 — Analytic 1401]] --- *Fonte: [MITRE ATT&CK — DET0508](https://attack.mitre.org/detectionstrategies/DET0508)*