# DET0824 — Detection of Upload Malware ## Descrição Adversários fazem upload de malware para plataformas públicas e serviços de hospedagem legítimos como parte da preparação de infraestrutura de ataque. Plataformas como GitHub, Pastebin, Google Drive, Dropbox, OneDrive e até plataformas de análise de malware como VirusTotal são usadas para hospedar payloads maliciosos, scripts de dropper e configurações de C2. Ao usar serviços legítimos e amplamente confiáveis, o adversário dificulta o bloqueio baseado em domínio e torna o tráfego de download indistinguível de uso legítimo do serviço. Grupos como [[g0016-apt29]], [[g0012-darkhotel]] e [[g0094-kimsuky]] documentadamente usam essa técnica para hospedar implantes. A técnica [[t1608-stage-capabilities|T1608-stage-capabilities]] inclui o uso de GitHub como repositório de malware onde o payload real é baixado por um dropper minimalista que chega via phishing. Isso reduz o tamanho do anexo inicial e dificulta a análise estática, pois o arquivo baixado em tempo real pode ser diferente a cada execução. O uso de serviços como Cloudflare Workers, AWS Lambda e Azure Functions para hospedar estágios intermediários de ataque também se tornou comum, dificultando o bloqueio baseado em IP. A detecção deve monitorar downloads de arquivos executáveis (`.exe`, `.dll`, `.ps1`, `.vbs`) a partir de serviços de armazenamento em nuvem em contextos não esperados, correlacionar hashes de arquivos baixados de serviços legítimos com bancos de dados de malware conhecidos, e implementar análise de comportamento pós-download para identificar execução de código malicioso independente da fonte de download. Sandboxing automático de arquivos baixados de fontes externas é um controle complementar eficaz. ## Indicadores de Detecção - Download de arquivos executáveis de plataformas como GitHub, Pastebin ou Google Drive por processos não esperados - Hashes de arquivos baixados de serviços legítimos com correspondência em bancos de malware (VirusTotal, NSRL negativo) - Scripts PowerShell ou Python que fazem download de conteúdo de URLs de serviços de hospedagem em nuvem - Repositórios GitHub criados recentemente com nomes aleatórios contendo binários sem código-fonte - Comportamento de dropper: download de arquivo seguido imediatamente por execução e deleção do arquivo - Uploads para VirusTotal de amostras relacionadas a TTPs de campanhas ativas identificadas em threat intel - Novos objetos em buckets S3 ou Azure Blob Storage da organização sem processo de upload autorizado ## Técnicas Relacionadas - [[t1608-stage-capabilities|T1608-stage-capabilities]] — preparação de infraestrutura com upload de malware - [[t1105-ingress-tool-transfer|T1105-ingress-tool-transfer]] — transferência de ferramentas para sistemas comprometidos - [[t1204-user-execution|T1204-user-execution]] — execução pelo usuário de malware baixado de serviço legítimo - [[t1027-obfuscated-files-or-information|T1027-obfuscated-files-or-information]] — ofuscação de malware hospedado em serviços legítimos - [[t1071-application-layer-protocol|T1071-application-layer-protocol]] — comunicação C2 via APIs de serviços legítimos ## Analytics Relacionadas - [[an1956-analytic-1956|AN1956 — Analytic 1956]] --- *Fonte: [MITRE ATT&CK — DET0824](https://attack.mitre.org/detectionstrategies/DET0824)*