det0040-detection-of-persistence-artifact-removal-across-host-platforms

# DET0040 — Detection of Persistence Artifact Removal Across Host Platforms ## Descrição Esta estratégia detecta a remoção maliciosa de artefatos de persistência pelo próprio adversário, geralmente realizada durante a fase de cleanup pós-exfiltração ou antes do encerramento da operação para dificultar a análise forense. A remoção de mecanismos de persistência (chaves de registro de autorun, tarefas agendadas, serviços, cron jobs, Launch Agents) pode parecer inofensiva, mas quando correlacionada com atividade maliciosa anterior é um forte indicador de estágio final do ataque. A telemetria necessária cobre múltiplas plataformas: no Windows, monitoramento de deleção de chaves em `HKCU\Software\Microsoft\Windows\CurrentVersion\Run`, remoção de tarefas via `schtasks /delete` ou PowerShell `Unregister-ScheduledTask`, e exclusão de serviços via `sc delete`. No Linux, remoção de entradas em `/etc/cron*`, `~/.bash_profile`, `~/.bashrc`, e arquivos em `/etc/systemd/system/`. No macOS, remoção de Launch Agents/Daemons em `~/Library/LaunchAgents/` ou `/Library/LaunchDaemons/`. O padrão temporal é determinante: a remoção de persistência ocorrendo imediatamente após atividade de exfiltração (grande volume de upload), ou em sequência a comandos de cleanup como `wevtutil cl` (limpeza de logs de evento), `history -c` (Linux), ou `rm -rf ~/.bash_history`, é indicador de APT realizando cleanup metódico. Alertas compostos que correlacionam essas ações têm alta fidelidade. ## Indicadores de Detecção - Exclusão de chave em `HKCU\...\Run` ou `HKLM\...\Run` por processo não-uninstaller legítimo - `schtasks /delete /tn <nome>` executado por processo não-administrativo ou script suspeito - `sc delete <serviço>` imediatamente após atividade de processo do mesmo serviço - Remoção de arquivo `.plist` em `~/Library/LaunchAgents/` fora de fluxo de desinstalação de app - `crontab -r` ou modificação de `/etc/cron.d/` por processo não-root em horário atípico - Remoção de persistência + limpeza de logs de evento (`wevtutil cl Security`) no mesmo timeframe - `rm ~/.bash_history` ou `history -c` por processo de shell em sessão não-interativa - Sequência: exfiltração (upload elevado) → remoção de persistência → limpeza de logs em < 30 minutos ## Técnicas Relacionadas - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] ## Analytics Relacionadas - [[an0113-analytic-0113|AN0113 — Analytic 0113]] - [[an0114-analytic-0114|AN0114 — Analytic 0114]] - [[an0115-analytic-0115|AN0115 — Analytic 0115]] - [[an0116-analytic-0116|AN0116 — Analytic 0116]] --- *Fonte: [MITRE ATT&CK — DET0040](https://attack.mitre.org/detectionstrategies/DET0040)*