det0116-detection-strategy-for-safe-mode-boot-abuse

# DET0116 — Detection Strategy for Safe Mode Boot Abuse ## Descrição Esta estratégia detecta configuração do Windows para boot em Modo de Segurança como técnica de evasão de defesa utilizada por ransomware. No Modo de Segurança, a maioria dos agentes de segurança (EDR, antivírus, soluções de DLP) não carrega, pois são serviços de terceiros. Ransomware como [[rvk-ransomware]] e variantes do [[blackcat]] configuram o sistema para boot em Safe Mode, executam criptografia com mínima oposição, e depois reconfiguram para boot normal. Os métodos de configuração incluem: `bcdedit /set {default} safeboot minimal` (Safe Mode básico), `bcdedit /set {default} safeboot network` (Safe Mode com rede para beaconing de C2), e adição de serviços maliciosos às chaves de registro de autostart de Safe Mode (`HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\`). A ferramenta `msconfig` e o `Boot Configuration Data` (BCD) são as fontes de evidência. A detecção deve monitorar: execução de `bcdedit` com parâmetros `safeboot`, modificação das chaves de registro `SafeBoot\Minimal` ou `SafeBoot\Network` por processos não-sistema, e reboot não planejado seguido de inicialização em modo de segurança. Logs do Windows Boot Manager e Event Viewer (Kernel-General Event 12/13) registram mudanças de configuração de boot. A correlação com outros comportamentos de ransomware (shadow copy deletion, file enumeration) é o sinal mais forte. ## Indicadores de Detecção - Execução de `bcdedit /set {default} safeboot` por qualquer processo - Modificação de `HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\` ou `SafeBoot\Network\` por processo não-SYSTEM - Serviço malicioso ou chave de autostart adicionados às hives de Safe Mode - Reboot do sistema seguido de inicialização em modo de segurança sem mudança de configuração autorizada - Combinação: `vssadmin delete shadows` + `bcdedit safeboot` no mesmo intervalo de tempo - `msconfig.exe` executado por processo filho de script ou ferramenta de ataque ## Técnicas Relacionadas - [[t1562009-impair-defenses-safe-mode-boot]] — Técnica principal - [[t1562-impair-defenses]] — Categoria pai - [[t1490-inhibit-system-recovery]] — Inibição de recuperação (shadow copy deletion) - [[t1486-data-encrypted-for-impact]] — Ransomware como objetivo final - [[t1112-modify-registry]] — Modificação de registro de safeboot ## Analytics Relacionadas - [[an0323-analytic-0323|AN0323 — Analytic 0323]] --- *Fonte: [MITRE ATT&CK — DET0116](https://attack.mitre.org/detectionstrategies/DET0116)*