det0568-detection-strategy-for-input-injection

# DET0568 — Detection Strategy for Input Injection ## Descrição Input Injection ([[T1056.004 - Input Capture Input Injection|T1056.004]]) é uma técnica utilizada por adversários para simular entradas de teclado e mouse programaticamente, permitindo a execução de comandos na máquina comprometida sem interação real do usuário. No Windows, as APIs `SendInput`, `keybd_event` e `mouse_event` são utilizadas por RATs e frameworks de acesso remoto para controlar o sistema da vítima. Essa técnica é especialmente relevante em ataques de fraude bancária no Brasil, onde malware como [[s0531-grandoreiro]] e [[mekotio]] injetam inputs para operar transações fraudulentas em sessões bancárias ativas. A distinção entre uso legítimo (automação de testes, ferramentas de acessibilidade) e malicioso é feita pelo contexto: processos que injetam inputs em janelas de aplicativos financeiros, de senha ou de autenticação sem interação humana visível são altamente suspeitos. O timing de inputs programáticos também difere do humano: latências uniformes, ausência de erros de digitação e velocidade acima da capacidade humana são características detectáveis. Em ambientes corporativos, monitorar chamadas a `SendInput` ou `PostMessage` por processos não reconhecidos, especialmente quando direcionadas a janelas de aplicativos de alto valor (homebanking, SAP, VPN), é a abordagem de detecção mais eficaz. EDRs com capacidade de monitoramento de chamadas de API em userspace são necessários para essa cobertura. ## Indicadores de Detecção - Processo não reconhecido chamando `SendInput` ou `keybd_event` para outra janela - Inputs de teclado com latência uniforme (< 5ms entre teclas) indicando automação - `PostMessage(WM_KEYDOWN)` ou `SendMessage(WM_CHAR)` para processo de aplicativo financeiro - Atividade de mouse sem correspondência de movimento físico em sessão remota - Processo injetando inputs em janela com título contendo "senha", "password" ou "autenticação" - RAT ou ferramenta de acesso remoto usando `SetForegroundWindow` antes de injeção de input ## Técnicas Relacionadas - [[T1056.004-input-capture-input-injection|T1056.004 — Input Injection]] - [[t1056-input-capture|T1056 — Input Capture]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1185-browser-session-hijacking|T1185 — Browser Session Hijacking]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] ## Analytics Relacionadas - [[an1567-analytic-1567|AN1567 — Analytic 1567]] - [[an1568-analytic-1568|AN1568 — Analytic 1568]] - [[an1569-analytic-1569|AN1569 — Analytic 1569]] --- *Fonte: [MITRE ATT&CK — DET0568](https://attack.mitre.org/detectionstrategies/DET0568)*