# DC0033 — Process Termination ## Descrição O **Process Termination** registra o encerramento de processos em execução no sistema operacional. Embora pareça menos interessante que a criação de processos, a terminação de processos específicos é um indicador crítico de atividade maliciosa — especialmente quando processos de segurança, antivírus, backup ou agentes de monitoramento são encerrados antes de um ataque. A terminação forçada de processos de defesa é uma técnica central de [[t1562-impair-defenses|T1562-impair-defenses]]. Ransomware moderno como [[lockbit]], [[blackcat]] e operações de ransomware direcionadas ao Brasil sistematicamente encerram processos de antivírus, EDR, serviços de backup (Veeam, Windows Backup) e bancos de dados antes de cifrar arquivos. Isso é feito via `taskkill.exe`, `net stop`, `sc stop` ou APIs Windows como `TerminateProcess`. A correlação entre Process Termination e outros eventos é poderosa para detecção de ransomware: se múltiplos processos de segurança são encerrados em sequência em curto intervalo de tempo, isso quase certamente precede uma fase de criptografia de arquivos. Além disso, a terminação abrupta de processos de negócio críticos (SQL Server, Oracle, Exchange) pode indicar [[t1485-data-destruction|T1485-data-destruction]] ou preparação para exfiltração. O Process Termination também é relevante para detectar tentativas de terminação de agentes de EDR — uma técnica usada por adversários para criar janelas de operação sem monitoramento. Alguns EDRs incluem proteção contra terminação (tamper protection), mas o monitoramento do evento em si ainda é valioso. ## Telemetria | Plataforma | Event ID | Descrição | Log Source | |---|---|---|---| | Windows | 4689 | Encerramento de processo (processo, PID, código de saída) | Security.evtx | | Windows | Sysmon 5 | Process Terminated — PID, imagem, hash | Sysmon | | Windows | 7036 | Serviço encerrado pelo SCM | System.evtx | | Linux | Auditd `exit` / `kill` | Syscall de saída ou sinal de kill para processo | Auditd | | Linux | `execve` de `kill`/`pkill` | Comandos de terminação de processo | Auditd | | macOS | `ES_EVENT_TYPE_NOTIFY_EXIT` | ESF — evento de saída de processo | ESF | ## Queries de Detecção ### KQL — Azure Sentinel / Microsoft Defender ```kql // Terminação de processos de segurança por processos não autorizados DeviceEvents | where ActionType == "ProcessTerminated" | where FileName in~ ("MsMpEng.exe", "csagent.exe", "MBAMService.exe", "VeeamBackupSvc.exe", "SQLWriter.exe", "SQLAGENT.exe", "bedbg.exe", "CVDS.exe") | where InitiatingProcessFileName !in~ ("services.exe", "wininit.exe", "taskhostw.exe") | project Timestamp, DeviceName, FileName, InitiatingProcessFileName, InitiatingProcessCommandLine | order by Timestamp desc ``` ### SPL — Splunk (com Sysmon + Windows Security) ```spl index=sysmon EventCode=5 Image IN ( "*\\MsMpEng.exe", "*\\csagent.exe", "*\\MBAMService.exe", "*\\VeeamBackupSvc.exe", "*\\SQLWriter.exe", "*\\bedbg.exe" ) | eval risk="critical" | stats count, values(Image) as terminated_procs by Computer, risk | where count >= 3 | sort - count ``` ## Técnicas Relacionadas | Técnica | Nome | Relevância | |---|---|---| | [[t1562-impair-defenses\|T1562-impair-defenses]] | Impair Defenses | Encerramento de processos de AV, EDR e agentes de monitoramento | | [[t1489-service-stop\|T1489-service-stop]] | Service Stop | `net stop` e `sc stop` — terminação via SCM | | [[t1485-data-destruction\|T1485-data-destruction]] | Data Destruction | Encerramento de processos de banco de dados antes de destruição | ## Contexto LATAM > [!globe] Relevância Regional > O encerramento de serviços de segurança e backup antes de execução de ransomware é um padrão consistente em ataques ao Brasil. Campanhas recentes de ransomware contra o setor de saúde e manufatura brasileiro incluem scripts automatizados que terminam dezenas de processos em sequência. O monitoramento do Sysmon Event ID 5 e a correlação com terminação de múltiplos processos de segurança em janela de 60 segundos é um dos detectores de maior precisão disponíveis para esse contexto. ## Referências - [MITRE ATT&CK — DC0033 Process Termination](https://attack.mitre.org/datasources/DS0009/#Process%20Termination) - [Windows Event ID 4689 — Process Exit](https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4689) - [Sysmon Event ID 5 — Process Terminated](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon) - [[ds0009-process|DS0009 — Process]] - [[t1562-impair-defenses|T1562-impair-defenses]] - [[t1489-service-stop|T1489-service-stop]]