det0051-detection-strategy-for-filepath-exclusions

# DET0051 — Detection Strategy for File/Path Exclusions ## Descrição Esta estratégia detecta modificações maliciosas em configurações de exclusão de antivírus, EDR e outras ferramentas de segurança para criar "zonas cegas" onde malware pode operar sem ser detectado. Adversários adicionam caminhos, extensões ou processos às listas de exclusão para proteger seus artefatos de varreduras, permitindo persistência e execução sem interferência das ferramentas de proteção. Alinhada a [[T1562.001-impair-defenses-disable-or-modify-tools]], a técnica é executada via PowerShell (`Add-MpPreference -ExclusionPath`), WMI, modificação direta do registro do Windows Defender (`HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\`), ou configuração de políticas de grupo. Grupos como [[g0032-lazarus-group]] e operadores de ransomware rotineiramente adicionam seus diretórios de staging às exclusões antes de executar payloads. A detecção deve monitorar comandos PowerShell contendo `Add-MpPreference` ou `Set-MpPreference` com parâmetros de exclusão, modificações a chaves de registro de exclusão do Windows Defender, e chamadas WMI para classes relacionadas a configuração de AV. A correlação temporal entre adição de exclusão e criação subsequente de arquivo no caminho excluído é o sinal mais conclusivo. ## Indicadores de Detecção - Execução de `Add-MpPreference -ExclusionPath` ou `-ExclusionProcess` via PowerShell - Escrita em `HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\` por processo não-sistema - Adição de exclusão apontando para diretórios temporários (`%TEMP%`, `%APPDATA%`, `C:\Users\Public\`) - Exclusão de extensão `.exe`, `.dll` ou `.ps1` de forma ampla em vez de caminhos específicos - Criação de arquivo malicioso em diretório recém-excluído dentro de 60 segundos da adição da exclusão ## Técnicas Relacionadas - [[T1562.001-impair-defenses-disable-or-modify-tools]] — técnica primária detectada - [[t1562-impair-defenses|T1562-impair-defenses]] — categoria pai de evasão de defesas - [[T1059.001-command-and-scripting-interpreter-powershell]] — uso de PowerShell para modificação - [[t1112-modify-registry|T1112-modify-registry]] — modificação do registro para persistência da exclusão - [[t1036-masquerading|T1036-masquerading]] — disfarce de arquivos no caminho excluído ## Analytics Relacionadas - [[an0139-analytic-0139|AN0139 — Analytic 0139]] - [[an0140-analytic-0140|AN0140 — Analytic 0140]] - [[an0141-analytic-0141|AN0141 — Analytic 0141]] --- *Fonte: [MITRE ATT&CK — DET0051](https://attack.mitre.org/detectionstrategies/DET0051)*