# DC0018 — Host Status ## Descrição **Host Status** abrange logs, mensagens e artefatos que evidênciam o estado de saúde e operacional de sensores de segurança instalados em endpoints, como agentes de Endpoint Detection and Response (EDR), software antivírus, serviços de logging e ferramentas de monitoramento de sistema. Este componente é fundamental para detectar quando adversários tentam cegar ou desabilitar controles de segurança. A desativação ou adulteração de sensores de segurança é uma das ações mais críticas executadas por adversários avançados durante a fase de evasão de defesas. Antes de executar payloads maliciosos, ransomware, ou movimentação lateral, atacantes frequentemente interrompem serviços de EDR, modificam políticas de antivírus ou corrompem agentes de logging para criar janelas cegas. A ausência súbita de telemetria de um endpoint que estava reportando normalmente é, por si só, um indicador de comprometimento. O monitoramento eficaz do Host Status requer uma arquitetura que detecte não apenas falhas ativas (sensor reportando erro) mas também falhas silenciosas (sensor para de reportar sem gerar alerta). Plataformas de EDR modernas oferecem dashboards de "sensor health" que alertam quando um agente fica offline, mas a cobertura dessa funcionalidade precisa ser válidada regularmente. ## Telemetria | Plataforma | Fonte de Log | Evento / Indicador | |-----------|-------------|-------------------| | Windows | Event Log | ID 1074 (Shutdown), ID 6006 (Log Stopped), ID 16 (Sysmon config change) | | Windows | Event Log | ID 12 (Defender State Change) | | Linux/macOS | Syslog | `/var/log/syslog`, `/var/log/auth.log` | | EDR | Agente | Heartbeat offline, tamper detection alert | | Mobile | Knox/SafetyNet | Sensor health status | ## Queries de Detecção **Windows Event Log — Desativação de serviços de segurança:** ```spl index=wineventlog EventCode IN (7036, 7040) Message IN ("*Windows Defender*", "*CrowdStrike*", "*Carbon Black*", "*SentinelOne*") Message="*stopped*" | eval risk="HIGH" | table _time, host, Message, risk | sort -_time ``` > Execute no SIEM (Splunk/Elastic) com dados de Windows Event Log. Adapte nomes de serviços ao EDR em uso. ## Técnicas Relacionadas - [[T1562.001-disable-or-modify-tools]] — Desativação direta de ferramentas de segurança como antivírus e EDR - [[T1562.006-indicator-blocking]] — Bloqueio de indicadores e telemetria antes de execução de payload - [[t1553-subvert-trust-controls|T1553-subvert-trust-controls]] — Subversão de controles de confiança incluindo certificados de segurança ## Contexto LATAM > [!danger] Relevância para Brasil e América Latina > Grupos de ransomware como **LockBit**, **ALPHV/BlackCat** e afiliados brasileiros como o **RansomHouse** documentadamente priorizam a desativação de EDR antes da execução do payload de criptografia. Em incidentes no Brasil, os grupos utilizaram ferramentas como **Terminator** (Zemana driver exploit), **AuKill** e scripts PowerShell customizados para matar processos de agentes EDR. A ausência de alertas de "sensor offline" no painel do EDR para hosts críticos deve ser monitorada como indicador de possível comprometimento em andamento. ## Referências - [MITRE ATT&CK — DC0018 Host Status](https://attack.mitre.org/datacomponents/DC0018) - [Microsoft — Windows Event IDs for Security Monitoring](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/appendix-l--events-to-monitor) - [CISA — Stopping Malicious Cyber Activity Against Connected Operational Technology](https://www.cisa.gov/resources-tools/resources/stopping-malicious-cyber-activity-against-connected-ot) - [[ds0013-sensor-health|DS0013 — Sensor Health]] - [[T1562.001-disable-or-modify-tools]] - [[_defenses|Hub de Defesas]]