det0544-detection-strategy-for-process-doppelgnging-on-windows

# DET0544 — Detection Strategy for Process Doppelgänging on Windows ## Descrição Process Doppelgänging é uma técnica avançada de evasão ([[T1055-013-process-doppelganging|T1055.013 — Process Doppelgänging]]) que explora o mecanismo de transações NTFS do Windows para criar um processo a partir de um executável malicioso sem que o arquivo sejá escrito de forma permanente em disco. O atacante cria uma transação NTFS, escreve o payload malicioso no arquivo dentro da transação (mas sem commitar), cria uma seção de memória a partir desse arquivo transacionado, cria um processo a partir da seção, e então faz rollback da transação — deixando o arquivo original intacto no disco enquanto o processo malicioso executa na memória. Esta técnica foi apresentada originalmente na BlackHat 2017 e representa uma evolução do Process Hollowing que é significativamente mais difícil de detectar porque: (1) o arquivo malicioso nunca persiste em disco após o rollback da transação, (2) ferramentas antivírus que fazem scan baseado em acesso a arquivo não encontrarão o payload, e (3) a imagem do processo na memória parece legítima quando inspecionada por alguns EDRs. Implantes sofisticados e ferramentas de post-exploitation como SynAck ransomware e variantes do Kovter utilizaram esta técnica. A detecção requer ferramentas com visibilidade de kernel que monitorem a sequência específica de chamadas de API: criação de transação NTFS (`NtCreateTransaction`) → escrita de arquivo transacionado (`NtWriteFile` via handle transacionado) → criação de seção de memória (`NtCreateSection` com `SEC_IMAGE`) → criação de processo a partir da seção (`NtCreateProcessEx`) → rollback da transação (`NtRollbackTransaction`). Soluções de EDR com telemetria de kernel como CrowdStrike, SentinelOne e Windows Defender for Endpoint (com Tamper Protection) têm capacidade de detectar este padrão. ## Indicadores de Detecção - Sequência de syscalls: `NtCreateTransaction` → `NtWriteFile` (handle transacionado) → `NtCreateSection` → `NtCreateProcessEx` → `NtRollbackTransaction` em curto intervalo - Processo criado cujá imagem em memória (`\Device\HarddiskVolume\...`) difere do hash do arquivo em disco - Discrepância entre o hash do processo em memória e o hash do arquivo executável referênciado no Process Information - ETW event de criação de processo sem correspondente evento de escrita de arquivo em disco no mesmo caminho - Acesso a `KtmW32.dll` ou uso de `CreateTransaction`/`RollbackTransaction` por processo não-Database/NTFS legítimo - Criação de processo por parent process incomum com imagem de processo que não corresponde ao binary esperado ## Técnicas Relacionadas - [[T1055-013-process-doppelganging|T1055.013 — Process Doppelgänging]] — técnica principal coberta por esta estratégia - [[t1055-012-process-hollowing|T1055.012 — Process Hollowing]] — técnica relacionada de evasão de processo - [[t1055-process-injection|T1055 — Process Injection]] — família ampla de técnicas de injeção/evasão - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] — ofuscação do payload associada - [[t1562-impair-defenses|T1562 — Impair Defenses]] — objetivo de contornar controles de segurança baseados em arquivo ## Analytics Relacionadas - [[an1501-analytic-1501|AN1501 — Analytic 1501]] --- *Fonte: [MITRE ATT&CK — DET0544](https://attack.mitre.org/detectionstrategies/DET0544)*