det0562-multi-platform-execution-guardrails-environmental-validation-detection-s

# DET0562 — Multi-Platform Execution Guardrails Environmental Validation Detection Strategy ## Descrição Guardrails de execução ([[t1480-execution-guardrails|T1480]]) são mecanismos utilizados por adversários para limitar a execução de malware a ambientes-alvo específicos, evitando análise em sandboxes e ambientes de pesquisa. Técnicas comuns incluem verificação de hostname, nome de domínio, idioma do sistema, presença de usuários específicos, endereço MAC, registros de antivírus ou variáveis de ambiente. Essa abordagem é amplamente utilizada por APTs como [[g0016-apt29]] e grupos de ransomware para garantir que o payload só execute no alvo pretendido. A detecção de guardrails é paradoxal: o malware não executa quando detecta que não está no alvo, tornando sandboxes convencionais ineficazes. A estratégia de detecção foca na identificação do comportamento de válidação em si — chamadas a APIs de sistema como `GetSystemDefaultLangID`, `GetComputerName`, leitura de variáveis de ambiente específicas ou consultas ao WMI — antes de qualquer payload malicioso ser ativado. Em múltiplas plataformas, a correlação de chamadas de API de válidação ambiental com processos não reconhecidos ou de origem suspeita é o principal sinal. Ferramentas de análise comportamental como EDRs podem identificar sequências de válidação mesmo quando o payload não é executado, permitindo detecção precoce de amostras ainda em fase de reconhecimento. ## Indicadores de Detecção - Processo não reconhecido consultando `GetSystemDefaultLangID` ou `GetUserDefaultLCID` - Leitura de variáveis de ambiente como `USERDOMAIN`, `COMPUTERNAME`, `USERNAME` por script suspeito - Consulta WMI (`SELECT * FROM Win32_ComputerSystem`) por processo de origem desconhecida - Leitura de `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall` para detectar AV instalado - Processo verificando endereço MAC antes de executar payload adicional - Script bash/Python verificando `/etc/hostname`, `/etc/passwd` ou variáveis de ambiente antes de execução ## Técnicas Relacionadas - [[t1480-execution-guardrails|T1480 — Execution Guardrails]] - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1614-system-location-discovery|T1614 — System Location Discovery]] - [[T1033-system-owner-user-discovery|T1033 — System Owner/User Discovery]] ## Analytics Relacionadas - [[an1551-analytic-1551|AN1551 — Analytic 1551]] - [[an1552-analytic-1552|AN1552 — Analytic 1552]] - [[an1553-analytic-1553|AN1553 — Analytic 1553]] - [[an1554-analytic-1554|AN1554 — Analytic 1554]] --- *Fonte: [MITRE ATT&CK — DET0562](https://attack.mitre.org/detectionstrategies/DET0562)*