# DET0872 — Detection of Malware ## Descrição A estratégia DET0872 complementa a DET0845 com foco específico na detecção de malware desenvolvido internamente por grupos de ameaças, em contrapósição ao malware comercial ou de código aberto. Grupos APT patrocinados por estados frequentemente desenvolvem malware personalizado — como SUNBURST (APT29), BLINDINGCAN (Lazarus Group) e PlugX (múltiplos grupos chineses) — que apresenta características únicas não cobertas por assinaturas de antivírus convencionais. O desenvolvimento interno de malware permite que adversários customizem ferramentas para alvos específicos, evitem detecções baseadas em assinaturas de famílias conhecidas, e integrem funcionalidades específicas para os objetivos da operação. Esse malware frequentemente incorpora técnicas avançadas de evasão como living-off-the-land binaries (LOLBins), reflective loading, process hollowing e comunicação C2 over legitimate protocols. A detecção eficaz requer abordagem comportamental em vez de baseada em assinaturas: monitoramento de APIs suspeitas em memória, detecção de anomalias em gráficos de processos, análise de desvios de baseline de comportamento de aplicativos, e correlação com TTPs documentadas de grupos de ameaças específicos através de inteligência de ameaças contextual. ## Indicadores de Detecção - Processo realizando chamadas de API incomuns para seu tipo (ex: processo de documento fazendo injeção em memória) - Arquivo executável sem assinatura digital carregado por processo legítimo do sistema - Comportamento de reflective DLL injection detectado por EDR em espaço de memória de processo - Comúnicação de C2 usando protocolo legítimo (HTTP/S, DNS, ICMP) com padrão anômalo de payload - Processo criado com nome idêntico a processo legítimo do sistema mas em caminho diferente - Indicador de comprometimento de malware personalizado correspondente a relatório de threat intel recente - Módulo carregado em memória sem representação em disco (fileless malware indicator) ## Técnicas Relacionadas - [[T1587.001-malware|T1587.001 — Develop Capabilities: Malware]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1620-reflective-code-loading|T1620 — Reflective Code Loading]] - [[T1036.005-match-legitimate-name|T1036.005 — Masquerading: Match Legitimaté Name or Location]] - [[T1027.002-software-packing|T1027.002 — Obfuscated Files: Software Packing]] - [[t1059-command-scripting-interpreter|T1059 — Command and Scripting Interpreter]] ## Analytics Relacionadas - [[an2004-analytic-2004|AN2004 — Analytic 2004]] --- *Fonte: [MITRE ATT&CK — DET0872](https://attack.mitre.org/detectionstrategies/DET0872)*