# DET0897 — Detection of Selective Exclusion ## Descrição A estratégia DET0897 trata da detecção de técnicas de selective exclusion — quando adversários configuram seu malware ou infraestrutura para evitar infectar ou atacar sistemas em determinados países, regiões, configurações de idioma ou características de sistema específicas. Essa técnica é comum em malware desenvolvido por grupos patrocinados por estados para evitar comprometer sistemas no país de origem dos operadores, criando "zonas de exclusão" geográficas que podem auxiliar na atribuição. A selective exclusion funciona verificando configurações de teclado, idioma do sistema operacional, fuso horário, geolocalização de IP e variáveis de ambiente para determinar se o ambiente é "seguro" para execução. Malware russo frequentemente verifica configurações de teclado cirílico; malware chinês pode verificar timezone de Pequim; malware iraniano pode excluir IPs de provedores iranianos. Identificar essas exclusões em análise de malware é uma técnica valiosa de atribuição. A detecção desta característica é relevante para análise forense e atribuição, não para detecção em tempo real de infecção. Analistas de malware que identificam logic de selective exclusion em amostras devem documentá-la como indicador de possível origem geográfica do ator, e correlacionar com inteligência de atribuição existente para os grupos que tipicamente excluem aquelas regiões. ## Indicadores de Detecção - Código de malware verificando configurações de idioma/teclado antes de executar payload malicioso - Amostra de malware que não executa em VMs com configurações específicas de localização - Lógica de verificação de timezone ou configuração de locale identificada em engenharia reversa - Malware verificando lista de processos de AV específicos de determinado país antes de executar - Análise forense revelando lista de exclusão de organizações ou domínios específicos hard-coded - Configuração de C2 ou botnet excluindo determinados blocos IP ou ASNs de alvos - Correlação entre exclusões identificadas em amostra e geolocalização de grupos de ameaça suspeitos ## Técnicas Relacionadas - [[t1480-execution-guardrails|T1480 — Execution Guardrails]] - [[T1480.001-environmental-keying|T1480.001 — Execution Guardrails: Environmental Keying]] - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[T1497.001-system-checks|T1497.001 — System Checks]] - [[t1614-system-location-discovery|T1614 — System Location Discovery]] - [[t1027-obfuscated-files|T1027 — Obfuscated Files or Information]] ## Analytics Relacionadas - [[an2030-analytic-2030|AN2030 — Analytic 2030]] --- *Fonte: [MITRE ATT&CK — DET0897](https://attack.mitre.org/detectionstrategies/DET0897)*