det0304-detection-strategy-for-endpoint-dos-via-application-or-system-exploitati

# DET0304 — Detection Strategy for Endpoint DoS via Application or System Exploitation ## Descrição Esta estratégia detecta ataques de negação de serviço (DoS) a nível de endpoint, onde adversários exploram vulnerabilidades em aplicações ou no sistema operacional para causar crashes, consumo excessivo de recursos ou travamento de sistemas individuais. Diferente de DDoS volumétrico de rede, este vetor foca em exploração de falhas específicas como null pointer dereference, heap overflows, race conditions e esgotamento de descritores de arquivo. Os indicadores incluem crashes repetidos de processos críticos (Event ID 1000/1001 no Windows — Application Error/Windows Error Reporting), uso anormal de CPU/memória/handles por processos específicos antes de crash, reinicializações inesperadas do sistema (Event ID 6008 — unexpected shutdown), e padrões de input malformado chegando em aplicações de rede antes de crashes. Ferramentas de fuzzing como `boofuzz` e exploits DoS de CVEs específicos podem ser detectadas por seus padrões de tráfego. Em contexto de ICS/OT, ataques DoS a PLCs ou HMIs têm impacto operacional direto em processos industriais. No setor financeiro, sistemas de pagamento e trading são alvos frequentes. A correlação entre tráfego de rede anormal e crashes de processo fornece contexto de atribuição para diferenciar falhas legítimas de ataques deliberados. ## Indicadores de Detecção - Crashes repetidos (3+) do mesmo processo em < 30 minutos com relatório WER gerado - Uso de CPU > 95% por processo de serviço de rede antes de parada inesperada - Esgotamento de handles de arquivo por processo de servidor (handle count > threshold configurado) - Pacotes de rede com payload malformado ou oversized chegando em porta de serviço antes de crash - Event ID 6008 (unexpected shutdown) correlacionado com tráfego de rede anormal em janela anterior - Processo reiniciando automaticamente via SCM mais de 3 vezes em < 1 hora (crash loop) ## Técnicas Relacionadas - [[t1499-endpoint-denial-of-service|T1499 — Endpoint Denial of Service]] - [[t1203-exploitation-for-client-execution|T1203 — Exploitation for Client Execution]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1485-data-destruction|T1485 — Data Destruction]] ## Analytics Relacionadas - [[an0850-analytic-0850|AN0850 — Analytic 0850]] - [[an0851-analytic-0851|AN0851 — Analytic 0851]] - [[an0852-analytic-0852|AN0852 — Analytic 0852]] - [[an0853-analytic-0853|AN0853 — Analytic 0853]] --- *Fonte: [MITRE ATT&CK — DET0304](https://attack.mitre.org/detectionstrategies/DET0304)*