# DET0564 — Detection Strategy for Hijack Execution Flow using Path Interception by Search Order Hijacking ## Descrição O Path Interception por Search Order Hijacking ([[T1574.008 - Hijack Execution Flow Path Interception by Search Order Hijacking|T1574.008]]) explora a ordem de busca de executáveis no Windows para substituir binários legítimos por versões maliciosas. Quando um programa chama `CreateProcess` sem específicar o caminho completo, o Windows busca o executável em diretórios definidos pela variável `%PATH%` em ordem. Um adversário que cria um binário malicioso em um diretório com maior prioridade na `%PATH%` — especialmente diretórios graváveis pelo usuário — pode interceptar a execução. Essa técnica é especialmente eficaz em ambientes com diretórios de usuário no `%PATH%` (ex.: `C:\Python\Scripts`, `C:\Users\user\AppData\Local\Microsoft\WindowsApps`) precedendo diretórios do sistema. Adversários a utilizam para persistência ou escalada de privilégios, criando binários homógrafos (mesmo nome de utilitários do sistema como `net.exe`, `ping.exe`) em locais de baixa visibilidade. A detecção deve focar em criação de arquivos executáveis em diretórios que aparecem antes de `C:\Windows\System32` na variável `%PATH%`, especialmente em perfis de usuário. Sysmon Event ID 11 (criação de arquivo) combinado com análise de hash e comparação com binários legítimos do sistema é a abordagem mais eficaz. ## Indicadores de Detecção - Arquivo executável criado em diretório de usuário que está no início do `%PATH%` - Hash de `net.exe`, `ping.exe`, `cmd.exe` ou similar diferente do esperado para a versão do SO - Processo filho com mesmo nome de utilitário do sistema criado por processo de usuário não administrativo - Sysmon Event ID 11 para `.exe` em `%APPDATA%`, `%LOCALAPPDATA%` ou `%TEMP%` com nome de sistema - Execução de binário em `C:\Python\` ou `C:\Go\bin\` com comportamento de processo de sistema ## Técnicas Relacionadas - [[T1574.008-hijack-execution-flow-path-interception-search-order|T1574.008 — Search Order Hijacking]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1036-masquerading|T1036 — Masquerading]] ## Analytics Relacionadas - [[an1560-analytic-1560|AN1560 — Analytic 1560]] --- *Fonte: [MITRE ATT&CK — DET0564](https://attack.mitre.org/detectionstrategies/DET0564)*