det0497-detection-of-impair-defenses-through-disabled-or-modified-tools-across-o

# DET0497 — Detection of Impair Defenses through Disabled or Modified Tools across OS Platforms. ## Descrição A desabilitação ou modificação de ferramentas de segurança é uma das primeiras ações executadas por adversários após o comprometimento inicial, com o objetivo de reduzir a visibilidade dos defensores e facilitar operações subsequentes. No Windows, isso inclui desabilitar o Windows Defender via Group Policy, PowerShell ou registro; parar serviços de EDR; e modificar políticas de auditoria. Em Linux, adversários manipulam o auditd, desabilitam SELinux/AppArmor e modificam configurações do rsyslog. No macOS, o Gatekeeper e XProtect são alvos frequentes. Essa técnica é mapeada como [[T1562.001-impair-defenses-disable-or-modify-tools|T1562.001]] no MITRE ATT&CK. Operadores de ransomware como [[lockbit|LockBit]], [[blackcat|BlackCat/ALPHV]] e [[conti|Conti]] sistematicamente desabilitam ferramentas de segurança como primeira ação após obter acesso privilegiado, antes de iniciar a fase de exfiltração e criptografia. A detecção multi-plataforma requer monitoramento de eventos específicos por sistema operacional: Event ID 7036 (serviço parado), modificações de registro em chaves de controle do Windows Defender, e logs de systemd/auditd para Linux. A abordagem de detecção mais eficaz combina monitoramento de integridade de processos de segurança (verificar se EDR e AV estão em execução), alertas sobre modificações em configurações de segurança do sistema operacional, e detecção de uso de ferramentas de terceiros projetadas específicamente para evasão de EDR (Process Hollowing, Bring Your Own Vulnerable Driver). ## Indicadores de Detecção - Serviço de agente EDR ou antivírus parado (Event ID 7036) sem janela de manutenção programada - Modificação de chave `HKLM\SOFTWARE\Policies\Microsoft\Windows Defender` desabilitando proteção em tempo real - Comando `Set-MpPreference -DisableRealtimeMonitoring $true` executado em PowerShell por usuário não administrativo - Modificação ou exclusão de arquivos de configuração do agente de segurança em diretórios protegidos - Auditd desabilitado ou arquivo de configuração alterado em sistema Linux sem change ticket - SELinux ou AppArmor colocado em modo permissivo por processo não relacionado a manutenção de sistema - Driver legítimo mas vulnerável (BYOVD) carregado para desabilitar proteção de kernel do EDR ## Técnicas Relacionadas - [[T1562.001-impair-defenses-disable-or-modify-tools|T1562.001 — Disable or Modify Tools]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1489-service-stop|T1489 — Service Stop]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] ## Analytics Relacionadas - [[an1369-analytic-1369|AN1369 — Analytic 1369]] - [[an1370-analytic-1370|AN1370 — Analytic 1370]] - [[an1371-analytic-1371|AN1371 — Analytic 1371]] - [[an1372-analytic-1372|AN1372 — Analytic 1372]] - [[an1373-analytic-1373|AN1373 — Analytic 1373]] - [[an1374-analytic-1374|AN1374 — Analytic 1374]] --- *Fonte: [MITRE ATT&CK — DET0497](https://attack.mitre.org/detectionstrategies/DET0497)*