# DET0311 — Detection for Spoofing Security Alerting across OS Platforms ## Descrição Esta estratégia detecta tentativas de falsificação de alertas de segurança em Windows, Linux e macOS, onde adversários criam ou manipulam notificações que imitam alertas legítimos de ferramentas de segurança para enganar usuários e operadores SOC. O objetivo pode ser induzir usuários a tomar ações prejudiciais (como desabilitar proteções), ou mascarar atividade maliciosa apresentando um estado falso de segurança normal. No Windows, os vetores incluem criação de notificações de sistema que imitam Windows Security/Defender, scripts que geram pop-ups via `WScript.Shell.Popup`, e manipulação do Windows Action Center para suprimir alertas reais enquanto exibe mensagens falsas. No macOS, osascript pode gerar diálogos que imitam System Preferences ou XProtect. A falsificação de logs de segurança (inserção de eventos falsos em Event Log) para mascarar atividade real é uma variante adicional desta técnica. A detecção requer verificação da autenticidade da fonte do alerta: process ID gerador do alerta, integridade do processo, e comparação com baseline de alertas legítimos da plataforma. Alertas gerados por processos sem assinatura digital válida ou com path fora do esperado para a ferramenta de segurança são indicadores críticos. ## Indicadores de Detecção - Notificação de segurança gerada por processo diferente do processo oficial da ferramenta de segurança - `WScript.Shell.Popup` com título ou ícone que imita alertas de Windows Security ou antivírus - `osascript` gerando diálogo com conteúdo de aviso de segurança por processo não-sistema - Evento inserido no Security Event Log (via `eventcreaté.exe`) por conta não pertencente ao sistema de monitoramento - Processo mascarando nome de solução EDR/AV legítima gerando notificações de sistema - Supressão de notificações do Windows Action Center por modificação de registro por processo não administrativo legítimo ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1204-user-execution|T1204 — User Execution]] ## Analytics Relacionadas - [[an0868-analytic-0868|AN0868 — Analytic 0868]] - [[an0869-analytic-0869|AN0869 — Analytic 0869]] - [[an0870-analytic-0870|AN0870 — Analytic 0870]] --- *Fonte: [MITRE ATT&CK — DET0311](https://attack.mitre.org/detectionstrategies/DET0311)*