det0021-behavioral-detection-for-service-stop-across-platforms

# DET0021 — Behavioral Detection for Service Stop across Platforms ## Descrição Esta estratégia detecta o comportamento de interrupção maliciosa de serviços do sistema, uma técnica frequentemente empregada por ransomware e operadores de ameaças persistentes antes de iniciar a fase de destruição ou exfiltração de dados. Atacantes encerram serviços de backup, antivírus, banco de dados e shadow copies para maximizar o impacto do ataque e dificultar a recuperação. A telemetria relevante inclui chamadas a `net stop`, `sc stop`, `systemctl stop` ou APIs do Service Control Manager (SCM) no Windows. No Linux e macOS, comandos equivalentes como `launchctl unload` e `service stop` também são monitorados. O contexto de processo pai é determinante: essas chamadas partindo de shells (`cmd.exe`, `powershell.exe`, `bash`) ou processos não administrativos são altamente suspeitas. A detecção eficaz correlaciona a sequência de múltiplos serviços sendo interrompidos em curto intervalo temporal (burst de paradas), especialmente quando os serviços alvo incluem VSS (Volume Shadow Copy), Windows Defender, serviços de backup como Veeam ou Acronis, e serviços de banco de dados como SQL Server e MySQL. ## Indicadores de Detecção - Execução sequencial de `net stop` ou `sc stop` contra múltiplos serviços em < 60 segundos - Interrupção de serviços relacionados a backup (`vss`, `wbengine`, `bedbg`, `VeeamBackupSvc`) - Interrupção de serviços de segurança: `WinDefend`, `MsMpSvc`, `SentinelAgent`, `CrowdStrike` - Chamadas ao SCM (`OpenSCManager`, `ControlService`) por processos não-privilegiados - Uso de `systemctl disable --now` em múltiplos serviços no Linux - Scripts em lote (`.bat`, `.sh`) contendo listas de `net stop` sem justificativa operacional - Remoção de serviços via `sc delete` após a interrupção ## Técnicas Relacionadas - [[t1489-service-stop|T1489 — Service Stop]] - [[t1490-inhibit-system-recovery|T1490 — Inhibit System Recovery]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] ## Analytics Relacionadas - [[an0061-analytic-0061|AN0061 — Analytic 0061]] - [[an0062-analytic-0062|AN0062 — Analytic 0062]] - [[an0063-analytic-0063|AN0063 — Analytic 0063]] - [[an0064-analytic-0064|AN0064 — Analytic 0064]] --- *Fonte: [MITRE ATT&CK — DET0021](https://attack.mitre.org/detectionstrategies/DET0021)*