det0189-detection-strategy-for-indicator-removal-from-tools-post-av-evasion-modi

# DET0189 — Detection Strategy for Indicator Removal from Tools - Post-AV Evasion Modification ## Descrição Esta estratégia detecta modificações em ferramentas de ataque para remover indicadores conhecidos por soluções antivírus — mapeada para [[T1027.005 — Indicator Removal from Tools]]. Adversários modificam binários de ferramentas conhecidas (Mimikatz, Cobalt Strike, Metasploit) removendo strings, hashes e padrões detectados por AV, frequentemente usando packers customizados, ofuscação de strings e remoção de metadados PE. A detecção foca em características de binários suspeitos que sofreram modificação deliberada: ausência de seção de recursos PE (versão, copyright), timestamps de compilação inconsistentes com a data de uso, entropy de seções de código acima de 7.0 (indicando packing/encriptação), e strings de debug removidas. Ferramentas de análise estática de PE integradas ao pipeline de detecção identificam essas anomalias. Três analytics abordam: análise de entropy de binários novos executados no endpoint, detecção de modificação de recursos PE (versão, manifesto removidos), e comparação de hash de binários de sistema contra baseline de integridade. A correlação com execução de compiladores ou packers no mesmo sistema indica modificação local. ## Indicadores de Detecção - Binário PE executado sem seção de recursos (FileVersion, CompanyName ausentes) - Entropy de seção `.text` acima de 7.2 em executável recém-criado - Timestamp de compilação PE no futuro ou inconsistente com data de criação de arquivo - Ausência de certificaté table em binário que deveria ser assinado - Binário com hash não correspondente a nenhuma versão legítima conhecida do software - Execução de `upx`, `themida` ou ferramentas de packing customizado seguida de criação de novo PE - Strings AV-known removidas (ex: ausência de "sekurlsa", "kerberos" em binário com comportamento de Mimikatz) ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1036-masquerading|T1036 — Masquerading]] ## Analytics Relacionadas - [[an0540-analytic-0540|AN0540 — Analytic 0540]] - [[an0541-analytic-0541|AN0541 — Analytic 0541]] - [[an0542-analytic-0542|AN0542 — Analytic 0542]] --- *Fonte: [MITRE ATT&CK — DET0189](https://attack.mitre.org/detectionstrategies/DET0189)*