det0565-detection-strategy-for-system-language-discovery

# DET0565 — Detection Strategy for System Language Discovery ## Descrição A descoberta do idioma do sistema ([[t1614-001-system-language-discovery|T1614.001]]) é uma técnica frequentemente utilizada por adversários — especialmente grupos de ransomware com origem em países do Leste Europeu — para evitar a infecção de sistemas configurados com idiomas de determinados países (ex.: russo, ucraniano, bielorrusso). O malware consulta o idioma/localidade do sistema antes de executar o payload principal como um mecanismo de auto-proteção geopolítica. No Windows, as APIs mais utilizadas são `GetSystemDefaultLangID`, `GetUserDefaultLangID`, `GetUserDefaultLocaleName` e consultas ao registro em `HKCU\Control Panel\International`. Em Linux e macOS, o malware inspeciona variáveis de ambiente como `LANG`, `LANGUAGE` e `LC_ALL`. Grupos como [[lockbit]] e [[s0496-revil]] implementam essas verificações como guardrails em seus builders. Do ponto de vista defensivo, a detecção dessas consultas por processos não reconhecidos é um sinal precoce valioso — indica que um processo está realizando reconhecimento ambiental compatível com comportamento de malware em fase de inicialização. A correlação com outros indicadores de guardrail (verificação de domínio, hostname, presença de AV) aumenta significativamente a fidelidade do alerta. ## Indicadores de Detecção - Processo não reconhecido chamando `GetSystemDefaultLangID` ou `GetUserDefaultLocaleName` - Leitura da chave de registro `HKCU\Control Panel\International\LocaleName` por processo suspeito - Script lendo variável de ambiente `LANG` ou `LC_ALL` antes de qualquer operação de rede - Processo consultando tabela de idiomas do sistema via WMI (`Win32_OperatingSystem.MUILanguages`) - Sequência de API: verificação de idioma → pausa → execução de payload (padrão de guardrail) - Arquivo executável compactado (packed) realizando verificação de localidade ## Técnicas Relacionadas - [[T1614.001-system-location-discovery-system-language-discovery|T1614.001 — System Language Discovery]] - [[t1614-system-location-discovery|T1614 — System Location Discovery]] - [[t1480-execution-guardrails|T1480 — Execution Guardrails]] - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] ## Analytics Relacionadas - [[an1561-analytic-1561|AN1561 — Analytic 1561]] - [[an1562-analytic-1562|AN1562 — Analytic 1562]] - [[an1563-analytic-1563|AN1563 — Analytic 1563]] --- *Fonte: [MITRE ATT&CK — DET0565](https://attack.mitre.org/detectionstrategies/DET0565)*