det0088-backup-software-discovery-via-cli-registry-and-process-inspection-t15180

# DET0088 — Backup Software Discovery via CLI, Registry, and Process Inspection (T1518.002) ## Descrição Esta estratégia detecta enumeração de software de backup como atividade de reconhecimento pré-ransomware. Adversários identificam soluções como Veeam, Backup Exec, Windows Server Backup e agentes de cloud backup (Azure Backup, AWS Backup) para planejar sua neutralização antes da criptografia de dados. A descoberta tipicamente precede comandos de deleção de backups e shadow copies. Os métodos de enumeração incluem: consultas ao registro em `HKLM\SOFTWARE` buscando chaves de vendors de backup, execução de `sc query` ou `Get-Service` para listar serviços de backup ativos, e listagem de processos via `tasklist` ou PowerShell `Get-Process` filtrando por nomes conhecidos (`veeam`, `backup`, `bacula`). Logs de processo com argumentos de linha de comando são a telemetria central. A correlação com eventos subsequentes é o sinal mais forte: sequência de discovery de backup → `vssadmin delete shadows`, `wmic shadowcopy delete` ou `bcdedit /set {default} recoveryenabled No` é quase universalmente associada a ransomware. Operadores de ransomware como [[lockbit]], [[blackcat]] e [[conti]] realizam esta sequência de forma consistente antes de iniciar criptografia. ## Indicadores de Detecção - Consultas ao registro em `HKLM\SOFTWARE\Veeam`, `HKLM\SOFTWARE\Symantec\Backup Exec`, ou chaves similares de vendors de backup - Execução de `wbadmin get versions` ou `wbadmin get items` por contas não administrativas de backup - `Get-WmiObject -Class Win32_Product` ou `Get-Service` com filtros em nomes de backup - Listagem de processos de backup via `tasklist /fi "imagename eq veeam*"` - Acesso a portas TCP conhecidas de agentes de backup (9392 Veeam, 10000 NetBackup) a partir de hosts não-servidores de backup - Sequência temporal: discovery de backup → remoção de shadow copies em menos de 30 minutos ## Técnicas Relacionadas - [[t1518002-software-discovery-security-software-discovery]] — Técnica principal - [[t1518-software-discovery]] — Categoria pai - [[t1490-inhibit-system-recovery]] — Destruição de backups para inibir recuperação - [[t1489-service-stop]] — Parada de serviços de backup - [[t1082-system-information-discovery]] — Discovery de sistema correlacionado ## Analytics Relacionadas - [[an0240-analytic-0240|AN0240 — Analytic 0240]] - [[an0241-analytic-0241|AN0241 — Analytic 0241]] - [[an0242-analytic-0242|AN0242 — Analytic 0242]] --- *Fonte: [MITRE ATT&CK — DET0088](https://attack.mitre.org/detectionstrategies/DET0088)*