# DET0329 — Behavioral Detection for T1490 - Inhibit System Recovery ## Descrição Esta estratégia detecta ações de adversários para impedir ou dificultar a recuperação do sistema após um ataque — incluindo exclusão de shadow copies, desabilitação de Windows Recovery Environment, remoção de backups e modificação de boot configuration data (BCD). A técnica [[t1490-inhibit-system-recovery|T1490-inhibit-system-recovery]] é um estágio crítico pré-impacto em ataques de ransomware, executada imediatamente antes da cifragem dos dados. A detecção comportamental foca na sequência de ações: execução de `vssadmin.exe delete shadows`, `wbadmin delete catalog`, `bcdedit /set recoveryenabled No` e equivalentes em Linux (`rm -rf /var/backups`, `lvremove`). Estas ações raramente têm justificativa legítima em ambientes de produção e devem gerar alertas de alta prioridade. Em ambientes LATAM, esta detecção é crítica pois a destruição de shadow copies e backups é etapa universal em ransomware moderno — desde LockBit e BlackCat a grupos regionais como Alphv. A presença dessas ações deve acionar resposta imediata de contenção. ## Indicadores de Detecção - `vssadmin.exe delete shadows /all /quiet` — exclusão de todas as shadow copies - `wbadmin delete catalog -quiet` — remoção do catálogo de backup do Windows - `bcdedit /set {default} recoveryenabled No` — desabilitação do recovery mode - `Get-WmiObject Win32_Shadowcopy | Remove-WmiObject` via PowerShell - `wmic shadowcopy delete` — exclusão de shadow copies via WMI - `lvremove` ou `zfs destroy` em Linux/Unix sem justificativa de manutenção - Modificação de arquivos de configuração de backup (Veeam, Acronis, Windows Backup) ## Técnicas Relacionadas - [[t1490-inhibit-system-recovery|T1490-inhibit-system-recovery]] — técnica primária - [[t1485-data-destruction|T1485-data-destruction]] — destruição de dados frequentemente subsequente - [[t1486-data-encrypted-for-impact|T1486-data-encrypted-for-impact]] — cifragem de dados que segue a inibição de recovery - [[t1070-indicator-removal|T1070-indicator-removal]] — remoção de evidências relacionada - [[t1562-impair-defenses|T1562-impair-defenses]] — desabilitação de defesas no mesmo contexto pré-impacto ## Analytics Relacionadas - [[an0933-analytic-0933|AN0933 — Analytic 0933]] - [[an0934-analytic-0934|AN0934 — Analytic 0934]] - [[an0935-analytic-0935|AN0935 — Analytic 0935]] - [[an0936-analytic-0936|AN0936 — Analytic 0936]] - [[an0937-analytic-0937|AN0937 — Analytic 0937]] --- *Fonte: [MITRE ATT&CK — DET0329](https://attack.mitre.org/detectionstrategies/DET0329)*