# DET0595 — Detection Strategy for Exploitation for Defense Evasion ## Descrição A exploração de vulnerabilidades para evasão de defesas ([[t1211-exploitation-for-defense-evasion|T1211]]) ocorre quando adversários exploram falhas em produtos de segurança — EDRs, antivírus, firewalls de endpoint, ferramentas de monitoramento — para desativá-los, crasheá-los ou fazer bypass de suas proteções antes de executar payloads maliciosos. Vulnerabilidades em drivers de kernel de produtos de segurança são especialmente atraentes porque permitem execução de código em ring 0 para desativar completamente a proteção. CVEs em produtos como Avast, Sophos, Kaspersky e outros já foram explorados por grupos APT para esse fim. A técnica é distinta do uso de LOLBins ou técnicas de evasão convencionais porque envolve exploração ativa de uma vulnerabilidade no próprio produto de defesa. O padrão BYOVD (Bring Your Own Vulnerable Driver) frequentemente precede essa técnica: o adversário carrega um driver vulnerável legítimo e o explora para obter permissões de kernel, que então usa para terminar processos de EDR ou desabilitar self-protection. Grupos como [[g0032-lazarus-group]], [[g0046-fin7]] e operadores de ransomware como [[blackcat]] utilizam variações dessa abordagem. A detecção requer monitoramento de crashes ou reinicializações anômalas de agentes de segurança, carregamento de drivers vulneráveis conhecidos, e tentativas de interação anômala com processos de produtos de segurança (handles abertos, injeção de thread). Sistemas de telemetria do próprio produto de segurança que reportam auto-desabilitação ou falha são fontes primárias de detecção. ## Indicadores de Detecção - Crash inesperado ou restart de agente EDR/AV sem reinicialização de sistema - Driver com hash correspondente a CVE de driver vulnerável conhecido carregado no sistema - Tentativa de abertura de handle para processo de produto de segurança por processo não-admin - `TerminateProcess` ou `NtTerminateProcess` direcionado a processo de EDR/AV - Carregamento de driver de fabricante de hardware (Dell, Gigabyte, ASUS) desatualizado e vulnerável - Telemetria de produto de segurança reportando `Self-protection bypass attempt` ## Técnicas Relacionadas - [[t1211-exploitation-for-defense-evasion|T1211 — Exploitation for Defense Evasion]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[T1562.001-impair-defenses-disable-or-modify-tools|T1562.001 — Disable or Modify Tools]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] - [[T1543.003-create-or-modify-system-process-windows-service|T1543.003 — Windows Service]] ## Analytics Relacionadas - [[an1633-analytic-1633|AN1633 — Analytic 1633]] - [[an1634-analytic-1634|AN1634 — Analytic 1634]] - [[an1635-analytic-1635|AN1635 — Analytic 1635]] - [[an1636-analytic-1636|AN1636 — Analytic 1636]] - [[an1637-analytic-1637|AN1637 — Analytic 1637]] --- *Fonte: [MITRE ATT&CK — DET0595](https://attack.mitre.org/detectionstrategies/DET0595)*