t1204-user-execution

# T1204 - Execução por Usuário (User Execution) ## Descrição A técnica de Execução por Usuário descreve cenários em que o adversário depende de uma ação deliberada da vítima para conseguir executar código malicioso no sistema. Em vez de explorar uma vulnerabilidade técnica diretamente, o atacante manipula o comportamento humano - sejá por curiosidade, urgência, confiança ou engano - para que o próprio usuário inicie a infecção. Esse tipo de ataque se apoia quase sempre em alguma forma de engenharia social. O vetor mais comum é o [[t1566-phishing|Phishing]]: e-mails com anexos armados, links para páginas falsas ou mensagens que imitam comúnicações legítimas de fornecedores, bancos ou colegas de trabalho. A técnica também pode ocorrer em fases mais avançadas da intrusão - por exemplo, quando um adversário já dentro da rede coloca um arquivo malicioso em uma pasta compartilhada esperando que alguém o abra. As variações desta técnica são vastas. Um usuário pode ser induzido a abrir um documento Office com macro, clicar em um link que dispara download de malware, executar um script colado manualmente no terminal (técnica ClickFix), habilitar uma ferramenta de acesso remoto pensando ser suporte técnico legítimo, ou instalar uma imagem de container comprometida em um pipeline de DevOps. Grupos como [[g1015-scattered-spider|Scattered Spider]] e [[g1004-lapsus|LAPSUS$]] são conhecidos por combinar técnicas de vishing e engenharia social sofisticada para convencer usuários e funcionários de help desk a executar ações que abrem caminho para acesso privilegiado. O [[t1534-internal-spearphishing|Spearphishing Interno]] é uma variante especialmente perigosa: após comprometer uma conta legítima, o adversário usa o próprio e-mail corporativo da vítima para distribuir payloads para outros colaboradores dentro da organização, burlando filtros de e-mail externos e aumentando a credibilidade do ataque. **Contexto Brasil/LATAM:** O Brasil lidera historicamente o ranking de países com maior volume de ataques de phishing na América Latina. Grupos criminosos locais e internacionais exploram datas estratégicas - Imposto de Renda, Black Friday, pagamento de 13º salário - para campanhas de Execução por Usuário altamente segmentadas. Malwares como [[lumma-stealer|Lumma Stealer]] e [[s1130-raspberry-robin|Raspberry Robin]] têm sido distribuídos no Brasil exatamente por essa técnica, com arquivos disfarçados de boletos, notas fiscais e documentos de RH. Organizações com baixa maturidade em conscientização de segurança são alvos preferênciais. ## Attack Flow ```mermaid graph TB A[Phishing / Engenharia Social] --> B[EXECUÇÃO PELO USUÁRIO] B --> C[Installer / Dropper] C --> D[Persistência / C2] D --> E[Exfiltração / Impacto] ``` ## Como Funciona **1. Preparação** O adversário cria o vetor de entrega: documento Office com macro maliciosa, arquivo compactado com executável disfarçado (.pdf.exe), link para página de phishing com download automático, ou script para ser colado no terminal. O conteúdo é construído para parecer legítimo e urgente. **2. Execução** O usuário recebe o conteúdo via e-mail, mensagem instantânea, pasta compartilhada ou mídia removível e executa a ação esperada: abre o arquivo, clica no link, habilita macros, cola o comando no terminal, ou instala o software. Nesse momento, o payload é executado sob o contexto do usuário - sem necessidade de exploit de vulnerabilidade técnica. **3. Pós-execução** Após a execução inicial, o malware normalmente realiza: unpacking do payload real, estabelecimento de [[ta0011-command-and-control|Comando e Controle]], e busca por mecanismos de [[ta0003-persistence|Persistência]]. Ferramentas de acesso remoto habilitadas pelo usuário podem dar ao atacante controle direto e duradouro da estação. **Exemplo - artefato de detecção:** ```bash # Cadeia de processo suspeita: Office abrindo PowerShell # winword.exe → cmd.exe → powershell.exe → (download) → payload.exe # Sysmon Event ID 1: ProcessCreaté # ParentImage: C:\Program Files\Microsoft Office\root\Office16\WINWORD.EXE # Image: C:\Windows\System32\cmd.exe # CommandLine: cmd /c powershell -enc <base64_payload> # Windows Event ID 4688: Criação de processo com linha de comando suspeita # Monitorar: wscript.exe, cscript.exe, mshta.exe, regsvr32.exe iniciados por aplicações Office ``` ## Detecção **Fontes de dados:** Sysmon (Event IDs 1, 3, 7, 11); Windows Event Log 4688; EDR telemetria de processo; logs de proxy web (downloads de arquivos executáveis); sandbox de e-mail (análise de anexos); análise comportamental de endpoint. ```yaml title: Cadeia de Processo Suspeita Originada em Aplicativo Office id: b8e4d2f1-3a97-4c08-ae22-f15b6c9d0e43 status: experimental description: Detecta aplicativos do Microsoft Office gerando processos filhos de interpretador de script ou shell, indicativo de execução via documento armado logsource: category: process_creation product: windows detection: selection_parent: ParentImage|endswith: - '\WINWORD.EXE' - '\EXCEL.EXE' - '\POWERPNT.EXE' - '\OUTLOOK.EXE' selection_child: Image|endswith: - '\cmd.exe' - '\powershell.exe' - '\wscript.exe' - '\cscript.exe' - '\mshta.exe' - '\regsvr32.exe' condition: selection_parent and selection_child falsepositives: - Macros legítimas corporativas aprovadas pelo time de segurança - Ferramentas de automação de escritório com integração de scripts homologados level: high tags: - attack.execution - attack.t1204.002 - attack.t1566.001 ``` ## Sub-técnicas - [[t1204-001-malicious-link|T1204.001 - Malicious Link]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1204-003-malicious-image|T1204.003 - Malicious Image]] - [[t1204-004-malicious-copy-and-paste|T1204.004 - Malicious Copy and Paste]] - [[t1204-005-malicious-library|T1204.005 - Malicious Library]] ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[m1017-user-training\|M1017 - Treinamento de Usuários]] | Programas contínuos de conscientização com simulações de phishing; foco em reconhecer engenharia social e ClickFix | | [[m1038-execution-prevention\|M1038 - Prevenção de Execução]] | Bloquear execução de scripts e executáveis não assinados via AppLocker ou WDAC; desabilitar macros por padrão | | [[m1040-behavior-prevention-on-endpoint\|M1040 - Prevenção Comportamental no Endpoint]] | Habilitar regras de redução de superfície de ataque (ASR) no Microsoft Defender; detectar cadeias de processo anômalas | | [[m1021-restrict-web-based-content\|M1021 - Restrição de Conteúdo Web]] | Filtrar downloads de tipos de arquivo executáveis via proxy; bloquear categorias de sites de hospedagem de arquivos suspeitos | | [[m1031-network-intrusion-prevention\|M1031 - Prevenção de Intrusão de Rede]] | IPS com assinaturas para download de payloads conhecidos; inspeção SSL para detectar C2 sobre HTTPS | | [[m1033-limit-software-installation\|M1033 - Limitar Instalação de Software]] | Restringir instalação de software a usuários sem privilégio administrativo; usar lista de permissões de aplicações | ## Threat Actors que Usam - [[g1015-scattered-spider|Scattered Spider]] - usa vishing e engenharia social para induzir funcionários a executar ferramentas de acesso remoto - [[g1004-lapsus|LAPSUS$]] - compra credenciais e manipula help desk para obter acesso, dependendo de ações humanas para escalar ## Software Associado - [[lumma-stealer|Lumma Stealer]] - distribuído via e-mails de phishing com documentos ou links maliciosos - [[s1130-raspberry-robin|Raspberry Robin]] - se propaga via mídia removível; depende do clique do usuário no arquivo LNK --- *Fonte: [MITRE ATT&CK - T1204](https://attack.mitre.org/techniques/T1204)*