det0516-behavioral-detection-of-command-and-scripting-interpreter-abuse

# DET0516 — Behavioral Detection of Command and Scripting Interpreter Abuse ## Descrição O abuso de interpretadores de comandos e scripts é uma das técnicas de execução mais prevalentes no cenário de ameaças, pois permite que adversários executem código malicioso usando ferramentas nativas do sistema operacional, dificultando a detecção baseada em assinaturas de malware. PowerShell, cmd.exe, bash, Python, JavaScript (Node.js), VBScript e WMI são os interpretadores mais abusados. A técnica é mapeada como [[t1059-command-and-scripting-interpreter|T1059]] e suas sub-técnicas no MITRE ATT&CK. O PowerShell é o interpretador mais abusado em ambientes Windows, devido à sua profunda integração com o sistema operacional e capacidade de executar código em memória sem arquivos em disco (fileless). Recursos como Constrained Language Mode (CLM), Script Block Logging (Event ID 4104), Module Logging (Event ID 4103) e AMSI (Antimalware Scan Interface) são controles defensivos específicos para PowerShell. Em Linux, bash scripts e Python são frequentemente usados por grupos APT para automação de reconhecimento e movimento lateral. Grupos como [[g0016-apt29|APT29]], [[g0032-lazarus-group|Lazarus Group]] e operadores de ransomware dependem extensivamente de LOL (Living Off The Land) scripts. A detecção comportamental analisa padrões de uso de interpretadores: scripts executados em contextos incomuns (filho de processo de produtividade, execução em horário off-hours), parâmetros de linha de comando suspeitos (download e execute, encoded commands, bypass de execution policy), e comportamento pós-execução (modificações de registro, conexões de rede, criação de arquivos em diretórios sensíveis). ## Indicadores de Detecção - PowerShell com flags `-ExecutionPolicy Bypass`, `-NoProfile -WindowStyle Hidden` ou `-EncodedCommand` - `cmd.exe` ou `powershell.exe` como processo filho de aplicação Office, browser ou cliente de e-mail - Script Block Logging (Event ID 4104) mostrando download de URL ou operações de injeção de processo em PowerShell - WMI invocando scripts ou processos via `Win32_Process.Create()` por processo de usuário não administrativo - Python ou bash executando operações de rede de saída em sistemas sem ambiente de desenvolvimento instalado - `wscript.exe` ou `cscript.exe` executando arquivo .vbs ou .js de diretório temporário ou AppData - Interpretador invocando `IEX` (Invoke-Expression) com conteúdo de string de alta entropia ou download inline ## Técnicas Relacionadas - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1059-001-powershell|T1059.001 — PowerShell]] - [[T1059.003-windows-command-shell|T1059.003 — Windows Command Shell]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1047-windows-management-instrumentation|T1047 — Windows Management Instrumentation]] ## Analytics Relacionadas - [[an1428-analytic-1428|AN1428 — Analytic 1428]] - [[an1429-analytic-1429|AN1429 — Analytic 1429]] - [[an1430-analytic-1430|AN1430 — Analytic 1430]] - [[an1431-analytic-1431|AN1431 — Analytic 1431]] - [[an1432-analytic-1432|AN1432 — Analytic 1432]] --- *Fonte: [MITRE ATT&CK — DET0516](https://attack.mitre.org/detectionstrategies/DET0516)*