det0888-detection-of-software

# DET0888 — Detection of Software ## Descrição A estratégia DET0888 foca na detecção de software adquirido ou obtido por adversários para uso em operações — abrangendo ferramentas comerciais legítimas de teste de penetração, software de administração de sistemas, utilitários de rede e ferramentas de dupla utilização que podem ser usadas tanto para propósitos legítimos quanto maliciosos. Ferramentas como Cobalt Strike, Mimikatz, BloodHound, PsExec e Advanced IP Scanner são amplamente utilizadas tanto por pentesters quanto por adversários reais. O conceito de "living off the land" (LOtL) expande essa categoria para incluir uso de software nativo do sistema operacional — PowerShell, WMI, certutil, regsvr32, mshta — para evitar a necessidade de introduzir ferramentas externas que seriam detectadas mais facilmente. A distinção entre uso legítimo e malicioso dessas ferramentas requer análise de contexto: quem executa, quando, a partir de onde, e em sequência com quais outros eventos. A detecção eficaz implementa allowlisting de aplicativos para ambientes controlados, monitoramento de execução de ferramentas de dupla utilização em contextos incomuns (PsExec executado por processo não administrativo, BloodHound coletando dados fora de janela de pentest autorizado), e correlação com outros indicadores comportamentais na kill chain. ## Indicadores de Detecção - Execução de Mimikatz, BloodHound ou LaZagne em endpoint de produção fora de janela de pentest - Uso de PsExec ou WinRM para movimentação lateral não documentada por conta de serviço - Download de ferramenta de dupla utilização (Nmap, Metasploit, Cobalt Strike) por processo de negócio - Execução de certutil ou bitsadmin para download de arquivo externo por usuário sem contexto técnico - Cobalt Strike beacon detectado por análise de tráfego (JA3/JA3S fingerprint característico) - PowerShell executando comandos de enumeração de AD (Get-ADUser, Get-DomainUser) por conta padrão - Instalação de software de acesso remoto (AnyDesk, TeamViewer, Ngrok) sem solicitação de TI ## Técnicas Relacionadas - [[T1588.002-tool|T1588.002 — Obtain Capabilities: Tool]] - [[T1587.004-exploits|T1587.004 — Develop Capabilities: Exploits]] - [[t1059-command-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1047-windows-management-instrumentation|T1047 — Windows Management Instrumentation]] - [[t1072-software-deployment-tools|T1072 — Software Deployment Tools]] - [[t1219-remote-access-tools|T1219 — Remote Access Software]] ## Analytics Relacionadas - [[an2020-analytic-2020|AN2020 — Analytic 2020]] --- *Fonte: [MITRE ATT&CK — DET0888](https://attack.mitre.org/detectionstrategies/DET0888)*