# M1033 — Limit Software Installation ## Visão Geral *Fonte: [MITRE ATT&CK — M1033](https://attack.mitre.org/mitigations/M1033)* ## Descrição Impeça que usuários ou grupos instalem software não autorizado ou não aprovado para reduzir o risco de introdução de aplicações maliciosas ou vulneráveis. Isso pode ser alcançado por meio de allowlists, políticas de restrição de software, ferramentas de gerenciamento de endpoints e princípios de acesso de menor privilégio. Esta mitigação pode ser implementada por meio das seguintes medidas: ```mermaid graph TB A["📋 Inventário<br/>Catálogo de software aprovado"] --> B["🔒 Allowlist<br/>AppLocker / WDAC"] B --> C["👤 Sem Admin Local<br/>RBAC — apenas TI instala"] C --> D["📦 MDM / SCCM<br/>Deploy centralizado gerenciado"] D --> E["📊 Monitoramento<br/>Event ID 4688 + EDR alerts"] E --> F["🔍 Auditoria Periódica<br/>OSQuery / Wazuh scan"] ``` Application Whitelisting - Implemente o Microsoft AppLocker ou o Windows Defender Application Control (WDAC) para criar e aplicar allowlists de software aprovado. - Inclua aplicações na allowlist com base em hash de arquivo, caminho ou assinaturas digitais. Restringir Permissões de Usuários - Remova os direitos de administrador local de todos os usuários não pertencentes à TI. - Use Role-Based Access Control (RBAC) para restringir permissões de instalação apenas a contas privilegiadas. Software Restriction Policies (SRP) - Use GPO para configurar SRP para negar a execução de binários em diretórios como `%AppData%`, `%Temp%` e unidades externas. - Restrinja tipos de arquivo específicos (`.exe`, `.bat`, `.msi`, `.js`, `.vbs`) apenas a diretórios confiáveis. Soluções de Gerenciamento de Endpoints - Implante ferramentas como Microsoft Intune, SCCM ou Jamf para gerenciamento centralizado de software. - Mantenha uma lista de software aprovado, versões e atualizações em toda a empresa. Monitorar Eventos de Instalação de Software - Habilite o registro de eventos de instalação de software e monitore o Event ID 4688 e o Event ID 11707 do Windows para instalações de software. - Use ferramentas de SIEM ou EDR para alertar sobre tentativas de instalar software não aprovado. Implementar Gerenciamento de Inventário de Software - Use ferramentas como OSQuery ou Wazuh para escanear software não autorizado em endpoints e servidores. - Realize auditorias regulares para detectar e remover software não aprovado. *Ferramentas para Implementação* Application Whitelisting: - Microsoft AppLocker - Windows Defender Application Control (WDAC) Gerenciamento de Endpoints: - Microsoft Intune - SCCM (System Center Configuration Manager) - Jamf Pro (macOS) - Puppet ou Ansible para automação Software Restriction Policies: - Group Policy Object (GPO) - Microsoft Software Restriction Policies (SRP) Monitoramento e Registro: - Splunk - OSQuery - Wazuh (SIEM e XDR open-source) - EDRs Gerenciamento de Inventário e Auditoria: - OSQuery - Wazuh ## Técnicas Mitigadas | ID | Técnica | |---|---------| | T1176.001 | [[t1176-001-browser-extensions\|T1176.001 — Browser Extensions]] | | T1204.005 | [[t1204-005-malicious-library\|T1204.005 — Malicious Library]] | | T1195.001 | [[t1195-001-compromise-software-dependencies-and-development-tools\|T1195.001 — Compromise Software Dependencies and Development Tools]] | | T1059 | [[t1059-command-and-scripting-interpreter\|T1059 — Command and Scripting Interpreter]] | | T1564 | [[t1564-hide-artifacts\|T1564 — Hide Artifacts]] | | T1059.011 | [[t1059-011-lua\|T1059.011 — Lua]] | | T1176 | [[t1176-software-extensions\|T1176 — Software Extensions]] | | T1543 | [[t1543-create-or-modify-system-process\|T1543 — Create or Modify System Process]] | | T1564.003 | [[t1564-003-hidden-window\|T1564.003 — Hidden Window]] | | T1072 | [[t1072-software-deployment-tools\|T1072 — Software Deployment Tools]] | | T1547.013 | [[t1547-013-xdg-autostart-entries\|T1547.013 — XDG Autostart Entries]] | | T1176.002 | [[t1176-002-ide-extensions\|T1176.002 — IDE Extensions]] | | T1059.006 | [[t1059-006-python\|T1059.006 — Python]] | | T1204 | [[t1204-user-execution\|T1204 — User Execution]] | | T1195 | [[t1195-supply-chain-compromise\|T1195 — Supply Chain Compromise]] | | T1543.002 | [[t1543-002-systemd-service\|T1543.002 — Systemd Service]] | | T1021.005 | [[t1021-005-vnc\|T1021.005 — VNC]] | --- ## Contexto LATAM > [!globe] Relevância Regional > A limitação de instalação de software é um controle crítico no Brasil, onde campanhas de malware bancário como Grandoreiro e Mekotio frequentemente dependem de instalação de componentes por usuários via engenharia social. Muitas organizações brasileiras ainda operam com usuários tendo privilégios de administrador local — prática que amplifica drasticamente o risco de comprometimento. A adoção de AppLocker e WDAC cresce no mercado enterprise, mas PMEs raramente implementam esses controles. > - Adoção em SOCs brasileiros: médio (bancos e grandes corporações) / baixo (PMEs) > - Regulamentações relevantes: BACEN 4893 (controle de software em ambientes de produção financeira), LGPD (prevenção de instalação de spyware que vaza dados pessoais) > - Desafios regionais: cultura de BYOD e uso de software pirata em PMEs, dificuldade de gerenciar endpoints remotos pós-pandemia