det0208-endpoint-resource-saturation-and-crash-pattern-detection-across-platform

# DET0208 — Endpoint Resource Saturation and Crash Pattern Detection Across Platforms ## Descrição Esta estratégia detecta saturação maliciosa de recursos de endpoint e padrões de crash causados por ataques — mapeada para [[T1499 — Endpoint Denial of Service]] e [[T1496 — Resource Hijacking]]. Adversários esgotam recursos de CPU, memória, disco ou rede de endpoints para causar degradação de serviço (ransomware preenchendo disco, mineradores consumindo CPU), ou exploram crashes para acionar mecanismos de debugging que revelam contexto privilegiado. A detecção é multiplataforma e correlaciona métricas de desempenho com contexto de processo: CPU acima de 90% por processo único por período sustentado (> 5 minutos) sem atividade de usuário correspondente, consumo de disco em alta taxa por processo de background, e crashes repetidos de processo crítico (Event ID 1000/1001 no Windows, core dumps no Linux). Correlação com processo causador identifica malware. Cinco analytics cobrem: consumo anômalo de CPU (mineração de criptomoeda), preenchimento de disco por ransomware, crash loop de processo crítico, saturação de memória por processo de background, e esgotamento de handles/descritores de arquivo. A correlação temporal com outros eventos de segurança distingue ataque de falha legítima. ## Indicadores de Detecção - Processo único consumindo > 80% de CPU por > 5 minutos em horário off-peak sem interação de usuário - Taxa de escrita em disco > 100 MB/s por processo não-backup por período sustentado (ransomware) - Crash repetido (> 3x em 10 minutos) do mesmo processo de negócio crítico - Consumo de RAM crescente sem correspondência com carga de usuário (memory leak malicioso) - Número de handles abertos por processo ultrapassando limite (> 10.000 handles) indicando exploit - Criação de grande número de arquivos pequenos em múltiplos diretórios (ransomware stage 1) - Saturação de conexões TCP/UDP por processo não-servidor de rede (flood ou DDoS saindo do endpoint) ## Técnicas Relacionadas - [[t1499-endpoint-denial-of-service|T1499 — Endpoint Denial of Service]] - [[t1496-resource-hijacking|T1496 — Resource Hijacking]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] - [[t1485-data-destruction|T1485 — Data Destruction]] ## Analytics Relacionadas - [[an0584-analytic-0584|AN0584 — Analytic 0584]] - [[an0585-analytic-0585|AN0585 — Analytic 0585]] - [[an0586-analytic-0586|AN0586 — Analytic 0586]] - [[an0587-analytic-0587|AN0587 — Analytic 0587]] - [[an0588-analytic-0588|AN0588 — Analytic 0588]] --- *Fonte: [MITRE ATT&CK — DET0208](https://attack.mitre.org/detectionstrategies/DET0208)*