det0356-endpoint-dos-via-os-exhaustion-flood-detection-strategy

# DET0356 — Endpoint DoS via OS Exhaustion Flood Detection Strategy ## Descrição Esta estratégia detecta ataques de Denial of Service (DoS) em endpoints via exaustão de recursos do sistema operacional — esgotamento de memória, file descriptors, threads, conexões TCP, inodes ou outras estruturas de dados do kernel. A técnica [[t1499-endpoint-denial-of-service|T1499-endpoint-denial-of-service]] via exaustão de OS é utilizada tanto para tornar sistemas inoperantes quanto para encobrir outras atividades maliciosas enquanto os defensores estão ocupados respondendo à degradação de serviço. A detecção baseia-se em métricas de saúde do sistema operacional — uso de memória >95%, file descriptor table cheia, número de threads por processo explodindo, swap usage elevado — correlacionadas com o processo ou conexão causadora. Ferramentas de APM (Application Performance Monitoring) e agentes de EDR com coleta de métricas de host são fontes primárias. Em ambientes de infraestrutura crítica brasileira (bancos, telecomúnicações), DoS de endpoint pode ser usado como ataque de diversão antes ou durante a execução de payload principal. Monitorar a causa raiz da exaustão (qual processo, de qual conta) é mais valioso do que apenas detectar o sintoma. ## Indicadores de Detecção - Processo único consumindo >80% de RAM total do sistema sem justificativa de carga de trabalho - Número de file descriptors por processo (`/proc/PID/fd`) atingindo limite do sistema - Fork bomb detectada: processo gerando sub-processos em velocidade exponencial - Conexões TCP em estado `SYN_RECV` ou `TIME_WAIT` excedendo limites do kernel - I/O disk excessivo por processo de baixo privilégio causando degradação de performance de sistema - Contagem de threads de processo crescendo indefinidamente sem retorno (thread exhaustion) ## Técnicas Relacionadas - [[t1499-endpoint-denial-of-service|T1499-endpoint-denial-of-service]] — técnica primária - [[T1499.001-os-exhaustion-flood]] — sub-técnica de exaustão de OS específica - [[t1498-network-denial-of-service|T1498-network-denial-of-service]] — DoS de rede relacionado - [[t1485-data-destruction|T1485-data-destruction]] — destruição de dados frequentemente combinada com DoS de cobertura - [[t1489-service-stop|T1489-service-stop]] — parada de serviço como alternativa menos ruidosa de DoS ## Analytics Relacionadas - [[an1012-analytic-1012|AN1012 — Analytic 1012]] - [[an1013-analytic-1013|AN1013 — Analytic 1013]] - [[an1014-analytic-1014|AN1014 — Analytic 1014]] --- *Fonte: [MITRE ATT&CK — DET0356](https://attack.mitre.org/detectionstrategies/DET0356)*