# M1040 — Behavior Prevention on Endpoint ## Visão Geral --- *Fonte: [MITRE ATT&CK — M1040](https://attack.mitre.org/mitigations/M1040)* ## Descrição Behavior Prevention on Endpoint refere-se ao uso de tecnologias e estratégias para detectar e bloquear atividades potencialmente maliciosas analisando o comportamento de processos, arquivos, chamadas de API e outros eventos no endpoint. ```mermaid graph TB A["📡 Telemetria Endpoint<br/>processos, APIs, arquivos<br/>coletada pelo agente EDR"] --> B["🤖 Motor Heurístico<br/>ML + regras comportamentais<br/>detecta anomalias"] B --> C{"Atividade<br/>suspeita?"} C -->|Sim| D["🛑 Bloquear Processo<br/>isolar endpoint<br/>alertar SOC"] C -->|Não| E["✅ Permitir<br/>registrar telemetria<br/>para baseline"] D --> F["🔬 Investigação<br/>forensics automatizado<br/>correlação no SIEM"] ``` Em vez de depender exclusivamente de assinaturas conhecidas, essa abordagem utiliza heurísticas, machine learning e monitoramento em tempo real para identificar padrões anômalos indicativos de um ataque. Esta mitigação pode ser implementada por meio das seguintes medidas: Comportamento Suspeito de Processos: - Implementação: Utilizar ferramentas de Endpoint Detection and Response (EDR) para monitorar e bloquear processos que exibam comportamento incomum, como tentativas de escalação de privilégios. - Caso de uso: Um atacante utiliza uma vulnerabilidade conhecida para gerar um processo privilegiado a partir de uma aplicação de nível de usuário. A ferramenta de endpoint detecta a relação anormal de processo pai-filho e bloqueia a ação. Acesso Não Autorizado a Arquivos: - Implementação: Utilizar ferramentas de Data Loss Prevention (DLP) ou de endpoint para bloquear processos que tentam acessar arquivos sensíveis sem autorização adequada. - Caso de uso: Um processo tenta ler ou modificar um arquivo sensível localizado em um diretório restrito, como /etc/shadow no Linux ou o registro SAM no Windows. A ferramenta de endpoint identifica esse comportamento anômalo e o impede. Chamadas de API Anormais: - Implementação: Implementar ferramentas de análise em tempo de execução para monitorar chamadas de API e bloquear aquelas associadas a atividades maliciosas. - Caso de uso: Um processo se injeta dinâmicamente em outro processo para sequestrar sua execução. O endpoint detecta o uso anormal de APIs como `OpenProcess` e `WriteProcessMemory` e encerra o processo ofensor. Prevenção de Exploits: - Implementação: Utilizar ferramentas de prevenção comportamental de exploits para detectar e bloquear exploits que tentam obter acesso não autorizado. - Caso de uso: Um exploit de buffer overflow é lançado contra uma aplicação vulnerável. O endpoint detecta a operação anômala de escrita em memória e interrompe o processo. ## Técnicas Mitigadas | ID | Técnica | |---|---------| | T1036.008 | [[t1036-008-masquerade-file-type\|T1036.008 — Masquerade File Type]] | | T1543.003 | [[t1543-003-windows-service\|T1543.003 — Windows Service]] | | T1055.002 | [[t1055-002-portable-executable-injection\|T1055.002 — Portable Executable Injection]] | | T1055.004 | [[t1055-004-asynchronous-procedure-call\|T1055.004 — Asynchronous Procedure Call]] | | T1027.014 | [[t1027-014-polymorphic-code\|T1027.014 — Polymorphic Code]] | | T1137.006 | [[t1137-006-add-ins\|T1137.006 — Add-ins]] | | T1055.009 | [[t1055-009-proc-memory\|T1055.009 — Proc Memory]] | | T1027.010 | [[t1027-010-command-obfuscation\|T1027.010 — Command Obfuscation]] | | T1055.012 | [[t1055-012-process-hollowing\|T1055.012 — Process Hollowing]] | | T1047 | [[t1047-windows-management-instrumentation\|T1047 — Windows Management Instrumentation]] | | T1059.007 | [[t1059-007-javascript\|T1059.007 — JavaScript]] | | T1204 | [[t1204-user-execution\|T1204 — User Execution]] | | T1543 | [[t1543-create-or-modify-system-process\|T1543 — Create or Modify System Process]] | | T1559.002 | [[t1559-002-dynamic-data-exchange\|T1559.002 — Dynamic Data Exchange]] | | T1574 | [[t1574-hijack-execution-flow\|T1574 — Hijack Execution Flow]] | | T1569.002 | [[t1569-002-service-execution\|T1569.002 — Service Execution]] | | T1055.014 | [[t1055-014-vdso-hijacking\|T1055.014 — VDSO Hijacking]] | | T1055.013 | [[t1055-013-process-doppelgnging\|T1055.013 — Process Doppelgänging]] | | T1216.001 | [[t1216-001-pubprn\|T1216.001 — PubPrn]] | | T1036 | [[t1036-masquerading\|T1036 — Masquerading]] | | T1055.003 | [[t1055-003-thread-execution-hijacking\|T1055.003 — Thread Execution Hijacking]] | | T1137.004 | [[t1137-004-outlook-home-page\|T1137.004 — Outlook Home Page]] | | T1137 | [[t1137-office-application-startup\|T1137 — Office Application Startup]] | | T1091 | [[t1091-replication-through-removable-media\|T1091 — Replication Through Removable Media]] | | T1003 | [[t1003-os-credential-dumping\|T1003 — OS Credential Dumping]] | | T1137.001 | [[t1137-001-office-template-macros\|T1137.001 — Office Templaté Macros]] | | T1137.002 | [[t1137-002-office-test\|T1137.002 — Office Test]] | | T1574.013 | [[t1574-013-kernelcallbacktable\|T1574.013 — KernelCallbackTable]] | | T1059.005 | [[t1059-005-visual-basic\|T1059.005 — Visual Basic]] | | T1055.011 | [[t1055-011-extra-window-memory-injection\|T1055.011 — Extra Window Memory Injection]] | | T1564.014 | [[t1564-014-extended-attributes\|T1564.014 — Extended Attributes]] | | T1027.012 | [[t1027-012-lnk-icon-smuggling\|T1027.012 — LNK Icon Smuggling]] | | T1486 | [[t1486-data-encrypted-for-impact\|T1486 — Data Encrypted for Impact]] | | T1137.005 | [[t1137-005-outlook-rules\|T1137.005 — Outlook Rules]] | | T1204.002 | [[t1204-002-malicious-file\|T1204.002 — Malicious File]] | | T1055.008 | [[t1055-008-ptrace-system-calls\|T1055.008 — Ptrace System Calls]] | | T1106 | [[t1106-native-api\|T1106 — Native API]] | | T1055 | [[t1055-process-injection\|T1055 — Process Injection]] | | T1569 | [[t1569-system-services\|T1569 — System Services]] | | T1006 | [[t1006-direct-volume-access\|T1006 — Direct Volume Access]] | | T1559 | [[t1559-inter-process-communication\|T1559 — Inter-Process Commúnication]] | | T1027 | [[t1027-obfuscated-files-or-information\|T1027 — Obfuscated Files or Information]] | | T1027.009 | [[t1027-009-embedded-payloads\|T1027.009 — Embedded Payloads]] | | T1137.003 | [[t1137-003-outlook-forms\|T1137.003 — Outlook Forms]] | | T1546.003 | [[t1546-003-windows-management-instrumentation-event-subscription\|T1546.003 — Windows Management Instrumentation Event Subscription]] | | T1003.001 | [[t1003-001-lsass-memory\|T1003.001 — LSASS Memory]] | | T1059 | [[t1059-command-and-scripting-interpreter\|T1059 — Command and Scripting Interpreter]] | | T1055.005 | [[t1055-005-thread-local-storage\|T1055.005 — Thread Local Storage]] | | T1027.013 | [[t1027-013-encryptedencoded-file\|T1027.013 — Encrypted/Encoded File]] | | T1055.001 | [[t1055-001-dynamic-link-library-injection\|T1055.001 — Dynamic-link Library Injection]] | | T1055.015 | [[t1055-015-listplanting\|T1055.015 — ListPlanting]] | ## Contexto LATAM > [!globe] Relevância Regional > Prevenção comportamental em endpoint é essencial no Brasil dado o alto volume de Process Injection (T1055) e LOLBins utilizados por malware bancário como [[s0531-grandoreiro]], [[mekotio]] e variantes do [[bankinfo]] que operam extensivamente na região. SOCs brasileiros de grande porte têm migrado de antivírus tradicionais para plataformas EDR com análise comportamental, impulsionados por exigências do BACEN e pela sofisticação crescente dos ataques. > - Adoção em SOCs brasileiros: médio-alto em setor financeiro (CrowdStrike, SentinelOne, Microsoft Defender for Endpoint); baixo em governo estadual/municipal e PMEs por custo de licenciamento > - Regulamentações relevantes: BACEN 4893/2021 (monitoramento e detecção de ameaças em tempo real), LGPD (resposta a incidentes e notificação de violações), Resolução CMN 4658/2018 (política de segurança cibernética para bancos) > - Desafios regionais: custo de licenças EDR em dólar para orçamentos em reais, necessidade de ajuste de políticas para evitar falsos positivos com software fiscal brasileiro (NFe, SPED, eSocial), escassez de analistas SOC para triagem de alertas comportamentais