det0239-detection-strategy-for-impair-defenses-indicator-blocking

# DET0239 — Detection Strategy for Impair Defenses Indicator Blocking ## Descrição Esta estratégia detecta tentativas de adversários de bloquear a coleta de indicadores de comprometimento (IoCs) pelos controles de segurança, impedindo que EDRs, SIEMs e ferramentas forenses capturem evidências de atividade maliciosa. Técnicas incluem desabilitar logging, excluir pastas do escaneamento de AV, e manipular hosts file para bloquear atualizações de definições. As técnicas mais comuns incluem: exclusão de diretórios de trabalho do malware do Windows Defender (`Add-MpPreference -ExclusionPath`), desativação de serviços de logging (`sc stop WinDefend`, `auditpol /set`), modificação de `hosts` para bloquear endereços de updaté de segurança, e uso de `reg add` para desativar Event Log forwarding. A telemetria necessária inclui monitoramento de comandos de configuração de AV/EDR (Sysmon + PowerShell logging), auditoria de serviços de segurança parados (Event ID 7036), e alertas para modificações de política de auditoria (Event ID 4719). ## Indicadores de Detecção - Execução de `Set-MpPreference` com parâmetros de exclusão ou desativação de proteção em tempo real - Parada dos serviços `WinDefend`, `EventLog`, `MsMpEng`, `SentinelAgent` ou similar via `sc stop` ou `net stop` - Modificação de `HKLM\SOFTWARE\Policies\Microsoft\Windows Defender` para desativar componentes - Alteração de `%SystemRoot%\System32\drivers\etc\hosts` adicionando IPs de servidores de segurança - Comando `auditpol /set /subcategory:* /success:disable /failure:disable` desativando auditoria - Processo de script apagando entries do Event Log via `wevtutil cl` ou PowerShell `Clear-EventLog` ## Técnicas Relacionadas - [[T1562.001-disable-or-modify-tools|T1562.001 — Disable or Modify Tools]] - [[T1562.006-indicator-blocking|T1562.006 — Indicator Blocking]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1112-modify-registry|T1112 — Modify Registry]] ## Analytics Relacionadas - [[an0667-analytic-0667|AN0667 — Analytic 0667]] - [[an0668-analytic-0668|AN0668 — Analytic 0668]] - [[an0669-analytic-0669|AN0669 — Analytic 0669]] - [[an0670-analytic-0670|AN0670 — Analytic 0670]] --- *Fonte: [MITRE ATT&CK — DET0239](https://attack.mitre.org/detectionstrategies/DET0239)*