det0577-detection-strategy-for-hijack-execution-flow-through-the-kernelcallbackt

# DET0577 — Detection Strategy for Hijack Execution Flow through the KernelCallbackTable on Windows. ## Descrição O hijacking do KernelCallbackTable ([[T1574.013 - Hijack Execution Flow KernelCallbackTable|T1574.013]]) é uma técnica avançada de injeção de processo que explora a estrutura PEB (Process Environment Block) do Windows. O `KernelCallbackTable` é um ponteiro no PEB que aponta para uma tabela de funções de callback de kernel para manipulação de janelas (GUI). Um adversário com acesso de escrita à memória de um processo pode modificar esse ponteiro para redirecionar callbacks para código malicioso, que é executado no contexto do processo-alvo sem criar threads suspeitas. Essa técnica é especialmente utilizada em ataques avançados contra processos de sistema com alta confiança, como `explorer.exe`, `svchost.exe` ou aplicações de segurança, pois os callbacks são invocados em resposta a eventos de janela normais (mensagens WM_*). Implantes como o Cobalt Strike Beacon e variantes de [[g0046-fin7]] utilizam essa técnica para injeção furtiva. A ausência de criação de threads remotas torna a detecção por métodos convencionais ineficaz. A detecção requer monitoramento de acesso de escrita a regiões de memória de outros processos contendo o PEB (via `WriteProcessMemory` para endereço do KernelCallbackTable), uso de `NtQueryInformationProcess` para enumerar PEBs, e análise de integridade do KernelCallbackTable comparando com baseline confiável. EDRs com capacidade de monitoreamento de API de memória em userspace são indispensáveis para essa cobertura. ## Indicadores de Detecção - `WriteProcessMemory` para endereço correspondente ao `KernelCallbackTable` no PEB de outro processo - Chamada `NtQueryInformationProcess` com `ProcessBasicInformation` por processo não-debugger - KernelCallbackTable de processo legítimo apontando para região de memória alocada dinâmicamente - Módulo suspeito carregado em processo de alta confiança após operação de escrita de memória - `VirtualAllocEx` seguido de `WriteProcessMemory` para processo de sistema (explorer, svchost) - Comportamento anômalo de janelas em processo legítimo após modificação de PEB ## Técnicas Relacionadas - [[T1574.013-hijack-execution-flow-kernelcallbacktable|T1574.013 — KernelCallbackTable]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1055-process-injection|T1055 — Process Injection]] - [[T1055.012-process-injection-process-hollowing|T1055.012 — Process Hollowing]] - [[t1134-access-token-manipulation|T1134 — Access Token Manipulation]] ## Analytics Relacionadas - [[an1593-analytic-1593|AN1593 — Analytic 1593]] --- *Fonte: [MITRE ATT&CK — DET0577](https://attack.mitre.org/detectionstrategies/DET0577)*