# DET0417 — Detection Strategy for Power Settings Abuse ## Descrição O abuso de configurações de energia (power settings) é uma técnica de evasão e impacto em que adversários manipulam políticas de energia do sistema para impedir que um host entre em modo de suspensão ou hibernação durante operações de longa duração — como exfiltração de grandes volumes de dados, criptografia de ransomware ou operações de mineiro de criptomoedas. A modificação do plano de energia para "Alto Desempenho" ou a desabilitação do sleep também pode ser usada para garantir disponibilidade de acesso remoto. No Windows, a ferramenta `powercfg` é usada para gerenciar planos de energia; em Linux, comandos como `systemctl mask sleep.target` ou modificações no `logind.conf` produzem efeito similar. A execução dessas ferramentas por processos não administrativos ou fora de contexto de gerenciamento de ativos é suspeita. Malware de mineração como variantes de [[xmrig]] e ransomware como [[lockbit]] frequentemente modificam configurações de energia como parte da fase de preparação. A detecção deve correlacionar mudanças em configurações de energia com outros comportamentos anômalos: alta utilização de CPU/GPU, transferências de dados em andamento ou execução de processos de criptografia. Isoladamente, a modificação de power settings tem baixa fidelidade, mas como parte de uma cadeia de comportamentos suspeitos, eleva significativamente a confiança do alerta. ## Indicadores de Detecção - Execução de `powercfg /change` ou `powercfg /setactive` por processos não administrativos - Criação de esquema de energia personalizado com timeout de suspensão definido como zero - `systemctl mask sleep.target hibernaté.target` executado em Linux por processo não root esperado - Modificação do arquivo `/etc/systemd/logind.conf` por processos não relacionados a pacotes do SO - Correlação de mudanças em power settings com alta utilização de CPU ou processo de criptografia ativo ## Técnicas Relacionadas - [[t1653-power-settings|T1653 — Power Settings]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] - [[t1496-resource-hijacking|T1496 — Resource Hijacking]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] ## Analytics Relacionadas - [[an1174-analytic-1174|AN1174 — Analytic 1174]] - [[an1175-analytic-1175|AN1175 — Analytic 1175]] - [[an1176-analytic-1176|AN1176 — Analytic 1176]] --- *Fonte: [MITRE ATT&CK — DET0417](https://attack.mitre.org/detectionstrategies/DET0417)*