det0845-detection-of-malware

# DET0845 — Detection of Malware ## Descrição A estratégia DET0845 abrange a detecção de malware adquirido ou desenvolvido por adversários para uso em operações ofensivas. Isso inclui famílias de malware comercial vendidas em fóruns clandestinos, ferramentas de acesso remoto (RATs), ransomware como serviço (RaaS), infostealers e frameworks de pós-exploração como Cobalt Strike ou Sliver. Adversários frequentemente modificam malware existente ou utilizam packers e criptografadores para evadir assinaturas de antivírus tradicionais. A detecção eficaz vai além de assinaturas estáticas, incorporando análise comportamental, detecção de anomalias em memória, monitoramento de APIs do sistema operacional e inteligência sobre indicadores de comprometimento (IoCs) associados a famílias conhecidas. A correlação com feeds de inteligência de ameaças — como MalwareBazaar, VirusTotal e relatórios de vendors — é essencial para identificar variantes novas antes que assinaturas estejam disponíveis. Sandboxes dinâmicas e soluções EDR com análise comportamental são componentes críticos dessa estratégia de detecção. ## Indicadores de Detecção - Hash de arquivo correspondente a amostra conhecida em bases de inteligência de ameaças - Processo realizando injeção de código em processo legítimo do sistema - Comúnicação de rede para domínio ou IP classificado como C2 em feeds de inteligência - Criação de arquivo executável em diretórios temporários ou de usuário - Persistência via Run keys, tarefas agendadas ou serviços com nome aleatório - Processo abrindo múltiplos handles de memória em processos de alto privilégio - Comportamento de autodeleção ou tentativa de desabilitar soluções de segurança ## Técnicas Relacionadas - [[T1587.001-malware|T1587.001 — Develop Capabilities: Malware]] - [[T1588.001-malware|T1588.001 — Obtain Capabilities: Malware]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1059-command-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] - [[T1562.001-disable-security-tools|T1562.001 — Impair Defenses: Disable or Modify Tools]] ## Analytics Relacionadas - [[an1977-analytic-1977|AN1977 — Analytic 1977]] --- *Fonte: [MITRE ATT&CK — DET0845](https://attack.mitre.org/detectionstrategies/DET0845)*