# DET0852 — Detection of Tool ## Descrição Esta estratégia abrange a detecção de ferramentas ofensivas utilizadas por adversários durante operações — incluindo ferramentas de acesso remoto (RATs), frameworks de C2, utilitários de reconhecimento e ferramentas de pós-exploração. A detecção de ferramentas é um pilar central da defesa baseada em comportamento, focando em identificar artefatos e padrões de execução característicos de ferramentas conhecidas. Ferramentas como [[s0154-cobalt-strike|Cobalt Strike]], Metasploit, [[mimikatz|Mimikatz]] e Impacket são amplamente utilizadas tanto por pentesters quanto por atores maliciosos, criando o desafio de distinguir uso legítimo de abuso. A detecção eficaz combina assinaturas de arquivos (hashes, strings características), indicadores de comportamento em memória (reflexive DLL injection, process hollowing) e padrões de rede (beaconing, C2 over HTTPS). Programas de EDR modernos são fundamentais para esta estratégia, monitorando carregamento de DLLs suspeitas, injeção em processos legítimos e execução de shellcode. Feeds de inteligência sobre novas versões de ferramentas — incluindo variantes crimeware de frameworks legítimos — devem alimentar continuamente as regras de detecção. ## Indicadores de Detecção - Execução de processos com argumentos de linha de comando característicos de ferramentas de pós-exploração (Mimikatz, BloodHound, SharpHound) - Carregamento de DLLs não assinadas em processos de sistema (lsass.exe, explorer.exe) - Comúnicação de rede com padrões de beaconing regulares em intervalos fixos para IPs externos - Criação de tarefas agendadas ou serviços com nomes aleatórios ou imitando serviços legítimos do Windows ## Técnicas Relacionadas - [[t1588-obtain-capabilities|T1588 — Obtain Capabilities]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] ## Analytics Relacionadas - [[an1984-analytic-1984|AN1984 — Analytic 1984]] --- *Fonte: [MITRE ATT&CK — DET0852](https://attack.mitre.org/detectionstrategies/DET0852)*