# DET0016 — Security Software Discovery Across Platforms ## Descrição Esta estratégia detecta a enumeração de ferramentas de segurança instaladas no host — antivírus, EDR, firewalls de host, ferramentas de análise de rede — realizada por malware ou atacante para adaptar seu comportamento e evitar detecção. Conhecer quais controles de segurança estão ativos permite ao atacante escolher técnicas de evasão específicas ou desabilitar seletivamente soluções de proteção. Em Windows, a enumeração ocorre via WMI (`SELECT * FROM AntiVirusProduct`), consultas ao Security Center, listagem de serviços e processos em execução. Em Linux/macOS, comandos como `ps aux`, `systemctl list-units` e verificação de diretórios de configuração de security tools são utilizados. Esta atividade precede frequentemente tentativas de desabilitação ou tamper de ferramentas de segurança (T1562). A correlação entre enumeração de security tools e posterior modificação de serviços de segurança é um sinal de alta fidelidade para resposta imediata. ## Indicadores de Detecção - Consulta WMI `SELECT * FROM AntiVirusProduct` ou `AntiSpywareProduct` por processo não administrativo - Enumeração de serviços em execução com filtro por nomes conhecidos de AV/EDR (ex: `sc query MsSense`) - Acesso a chaves de registro de produtos de segurança conhecidos por processo de baixa reputação - Execução de `tasklist` ou `ps aux` seguida de grep/findstr por strings de vendor de segurança - Script PowerShell consultando `Get-MpComputerStatus` ou `Get-MpPreference` fora de contexto administrativo ## Técnicas Relacionadas - [[t1518-software-discovery|T1518 — Software Discovery]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1057-process-discovery|T1057 — Process Discovery]] ## Analytics Relacionadas - [[an0048-analytic-0048|AN0048 — Analytic 0048]] - [[an0049-analytic-0049|AN0049 — Analytic 0049]] - [[an0050-analytic-0050|AN0050 — Analytic 0050]] --- *Fonte: [MITRE ATT&CK — DET0016](https://attack.mitre.org/detectionstrategies/DET0016)*