s0645-wevtutil - RunkIntel

# Wevtutil > [!warning] LOLBin - Anti-Forense via Limpeza de Logs > Utilitário nativo do Windows para administração de Event Logs - amplamente abusado por grupos APT e ransomware para destruir evidências forenses antes da detecção. Usado por APT28, Volt Typhoon, Play Ransomware e Aquatic Panda. ## Visão Geral **Wevtutil** (Windows Events Command Line Utility) é um utilitário nativo presente em todas as versões do Windows desde Vista. Permite a administradores consultar, exportar, arquivar e limpar logs de eventos do Windows - funcionalidades essenciais para administração legítima e, simultaneamente, para destruição de evidências forenses por atacantes. O abuso do wevtutil em operações ofensivas foca em três ações: limpeza completa de canais de log (`cl`), desabilitação de canais específicos (`sl /e:false`) e exportação seletiva de logs antes da limpeza para evitar alertas na SIEM do atacante. Grupos como [[g1017-volt-typhoon|Volt Typhoon]] usam wevtutil cirurgicamente - deletando apenas entradas específicas relacionadas às suas ações, em vez de limpar logs inteiros (técnica que deixa menos evidências do anti-forense em si). **Plataformas:** Windows ## Como Funciona O wevtutil opera sobre o Windows Event Log Service, acessando canais de log via API nativa. Principais subcomandos usados ofensivamente: ``` wevtutil cl System # Limpa log do Sistema wevtutil cl Security # Limpa log de Segurança (requer SYSTEM) wevtutil cl Application # Limpa log de Aplicações wevtutil cl "Microsoft-Windows-PowerShell/Operational" # Limpa log do PowerShell wevtutil sl Security /e:false # Desabilita o canal de Segurança wevtutil qe Security /f:xml # Exporta eventos de Segurança (reconhecimento) ``` A limpeza do log de Segurança (`wevtutil cl Security`) gera o **Event ID 1102** ("The audit log was cleared") - um evento altamente suspeito. Por isso, alguns grupos preferem desabilitar logging antes das operações em vez de limpar depois. [[g1017-volt-typhoon|Volt Typhoon]] foi documentado deletando entradas específicas via PowerShell com filtros por EventID, usando wevtutil somente para exportação prévia. ## Uso Ofensivo ```mermaid graph TB A["🔑 Acesso privilegiado SYSTEM / Administrator"] --> B["📋 Reconhecimento wevtutil el - listar canais"] B --> C["📤 Exportação seletiva wevtutil qe Security"] C --> D{"Anti-forense escolha do método"} D --> E["🗑️ Limpeza total wevtutil cl Security"] D --> F["🚫 Desabilitação wevtutil sl /e:false"] D --> G["✂️ Deleção cirúrgica PowerShell + Get-WinEvent"] E --> H["✅ Cobertura concluída Evidências destruídas"] F --> H G --> H ``` **Volt Typhoon - deleção cirúrgica:** ```mermaid graph TB A["🏭 Infraestrutura crítica comprometida"] --> B["🔍 Identificar EventIDs de suas próprias ações"] B --> C["📋 Export seletivo wevtutil qe Security /f:xml"] C --> D["🗂️ Filtrar por EventID 4624 / 4648 / 4688"] D --> E["🗑️ Deleção via PowerShell não gera Event 1102"] E --> F["👻 Sessão sem rastros presença furtiva mantida"] ``` ## Timeline | Ano | Evento | |-----|--------| | 2008 | Wevtutil introduzido no Windows Vista como substituto ao obsoleto `eventquery.vbs` | | 2017 | NotPetya e Olympic Destroyer usam wevtutil para destruição de evidências antes do payload destrutivo | | 2021 | [[g0007-apt28\|APT28]] documentado limpando logs de segurança em ataques a infraestrutura crítica europeia | | 2022 | [[g0034-sandworm\|Sandworm Team]] usa wevtutil em campanha de destruição na Ucrânia | | 2023 | [[g1017-volt-typhoon\|Volt Typhoon]] identificado usando técnica de deleção cirúrgica - sem gerar Event ID 1102 | | 2024 | [[g1040-play\|Play]] Ransomware integra wevtutil no pré-ransom para remover evidências de acesso inicial | ## TTPs | ID | Nome | Uso pelo Wevtutil | |----|------|-------------------| | [[t1070-001-clear-windows-event-logs\|T1070.001]] | Clear Windows Event Logs | `wevtutil cl Security/System/Application` - limpeza completa | | [[t1562-002-disable-windows-event-logging\|T1562.002]] | Disable Windows Event Logging | `wevtutil sl <canal> /e:false` - desabilitação preventiva | | [[t1005-data-from-local-system\|T1005]] | Data from Local System | `wevtutil qe` exporta logs para análise pelo atacante | ## Atores que Utilizam - [[g0007-apt28|APT28]] (Fancy Bear) - limpeza pós-intrusão em redes governamentais europeias - [[g1017-volt-typhoon|Volt Typhoon]] - deleção cirúrgica em infraestrutura crítica americana - [[g0143-aquatic-panda|Aquatic Panda]] - anti-forense em campanhas de espionagem industrial - [[g1040-play|Play]] - limpeza pré-ransomware para dificultar resposta a incidentes - [[g0129-mustang-panda|Mustang Panda]] - cobertura de rastros em espionagem governamental ## Relevância LATAM/Brasil A limpeza de Windows Event Logs via wevtutil é uma técnica universal adotada por práticamente todos os grupos de ransomware que operam no Brasil, incluindo grupos como [[g1040-play|Play]] que tem atacado organizações brasileiras. O objetivo é destruir evidências forenses antes que equipes de resposta a incidentes possam reconstruir a linha do tempo do ataque. Para organizações brasileiras sem centralização de logs (SIEM), a limpeza local de Event Logs via wevtutil efetivamente apaga toda evidência do incidente - tornando a atribuição e a lição aprendida impossíveis. A implementação de **log forwarding em tempo real** para um SIEM ou SYSLOG remoto é a contramedida mais eficaz: mesmo que o atacante execute `wevtutil cl Security`, os eventos já foram enviados ao sistema remoto. [[g1017-volt-typhoon|Volt Typhoon]], APT chinês com foco em infraestrutura crítica, foi identificado em ambientes americanos usando técnicas de deleção cirúrgica - altamente relevante para setores de energia, telecomúnicações e saneamento no Brasil, que são alvos estratégicos de espionagem de infraestrutura. ## Detecção **Eventos de detecção críticos:** - **Event ID 1102** (Microsoft-Windows-Security-Auditing): "The audit log was cleared" - alta prioridade, quase sempre malicioso - **Event ID 104** (Microsoft-Windows-Eventlog): "The System log file was cleared" - equivalente para log do Sistema **Fontes de dados recomendadas:** - **SIEM/Log Forwarding:** Enviar todos os eventos Windows para repositório remoto em tempo real - torna a limpeza local ineficaz - **Sysmon Event ID 1 (ProcessCreaté):** `wevtutil.exe` com argumentos `cl`, `sl`, `qe` - alertar imediatamente - **Windows Security Event 4688:** CommandLine contendo `wevtutil cl` ou `wevtutil sl /e:false` - **Sysmon Event ID 11 (FileCreaté):** Criação de arquivos `.evtx` - pode indicar exportação prévia à limpeza **Regras de detecção:** - Sigma: `proc_creation_win_wevtutil_clear_logs.yml` - detecta `wevtutil cl` em qualquer canal - Sigma: `win_security_event_1102.yml` - alerta em Event ID 1102 (limpeza de log de Segurança) - Sigma: `win_eventlog_disable.yml` - detecta `wevtutil sl` com `/e:false` ## Referências - [1](https://attack.mitre.org/software/S0645) MITRE ATT&CK - S0645 Wevtutil (2024) - [2](https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/wevtutil) Microsoft - Wevtutil Reference Documentation (2024) - [3](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-144a) CISA - AA23-144A: Volt Typhoon Targeting Critical Infrastructure (2023) - [4](https://www.mandiant.com/resources/blog/apt28-at-the-center-of-storm) Mandiant - APT28 Tactics and Anti-Forensics (2017) - [5](https://thedfirreport.com/2021/11/15/exchange-exploit-leads-to-domain-wide-ransomware/) The DFIR Report - Ransomware operators use wevtutil pre-encryption (2021)