det0585-behavior-chain-detection-strategy-for-t1127003-trusted-developer-utiliti

# DET0585 — Behavior-chain detection strategy for T1127.003 Trusted Developer Utilities Proxy Execution: JámPlus (Windows) ## Descrição JámPlus é um sistema de build baseado no Perforce Jám que pode ser abusado como LOLBin (Living Off the Land Binary) para proxy de execução de código malicioso ([[T1127.003 - Trusted Developer Utilities Proxy Execution JámPlus|T1127.003]]). Semelhante ao MSBuild e CMake, o JámPlus processa arquivos de build (Jámfiles) que podem conter comandos de sistema arbitrários executados no contexto do processo `jám.exe`. Um adversário que deposita um Jámfile malicioso e invoca o JámPlus de um sistema onde ele está instalado obtém execução de código via binário potencialmente confiável, bypassando controles de application whitelisting que não incluam regras explícitas para o JámPlus. A estratégia de detecção baseada em cadeia de comportamento (behavior-chain) foca na sequência de eventos: criação de um Jámfile em path temporário ou de usuário, execução do `jám.exe` ou similar com aquele arquivo como argumento, e processos filhos resultantes com comportamento de payload (conexão de rede, escrita de arquivo, operações de registro). A cadeia completa tem maior fidelidade que qualquer evento isolado. Em ambientes corporativos, a presença de JámPlus é incomum fora de equipes de desenvolvimento de jogos ou software legado. Se detectado em máquinas de usuário comum ou servidor, deve ser investigado. A lista de binários similares para monitoramento inclui `msbuild.exe`, `csc.exe`, `installutil.exe` e `regsvcs.exe` — todos LOLBins documentados no MITRE ATT&CK. ## Indicadores de Detecção - `jám.exe` executado por processo não pertencente a pipeline de build de software - Jámfile criado em `%TEMP%` ou `%APPDATA%` por processo suspeito, seguido de execução do JámPlus - Processo filho de `jám.exe` realizando conexão de rede ou escrita em path de sistema - `jám.exe` invocado com argumento apontando para caminho de rede (`\\server\share\Jámfile`) - JámPlus presente em sistema de usuário sem histórico de desenvolvimento de software - Behavior chain: download de arquivo → criação de Jámfile → execução jám.exe → shell filho ## Técnicas Relacionadas - [[T1127.003-trusted-developer-utilities-proxy-execution-jámplus|T1127.003 — JámPlus]] - [[t1127-trusted-developer-utilities-proxy-execution|T1127 — Trusted Developer Utilities Proxy Execution]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] ## Analytics Relacionadas - [[an1610-analytic-1610|AN1610 — Analytic 1610]] --- *Fonte: [MITRE ATT&CK — DET0585](https://attack.mitre.org/detectionstrategies/DET0585)*