# AN1633 — Analytic 1633 ## Descrição Esta analítica detecta tentativas de exploração direcionadas a software de segurança defensivo ou serviços do SO, observáveis por comportamento anormal de processos (AV ou EDR encerrando inesperadamente), módulos não assinados carregados em processos defensivos, ou escalonamento de privilégios a partir de serviços de agentes de segurança. A telemetria inclui Event IDs relacionados a falhas de processo, carregamento de drivers não assinados (Event ID 7045), logs de integridade de EDR e correlação de tentativas de exploração com comportamento evasivo subsequente como encerramento de serviços ou lacunas de logging. Esta detecção é fundamental porque neutralizar ferramentas defensivas é um pré-requisito para ataques avançados, e sua detecção pode ser o primeiro sinal de uma intrusão sofisticada em andamento. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] - [[t1211-exploitation-for-defense-evasion|T1211 — Exploitation for Defense Evasion]] - [[t1055-process-injection|T1055 — Process Injection]] --- *Fonte: [MITRE ATT&CK — AN1633](https://attack.mitre.org/detectionstrategies/DET0595#AN1633)*