t1070-001-clear-windows-event-logs

# T1070.001 - Clear Windows Event Logs ## Técnica Pai Esta é uma sub-técnica de [[t1070-indicator-removal|T1070 - T1070 - Indicator Removal]]. ## Descrição A limpeza de logs de eventos do Windows é uma das técnicas de evasão de defesa mais utilizadas por adversários após o comprometimento de um sistema. Os logs de eventos do Windows - divididos em canais como System, Application, Security e Setup - registram práticamente toda atividade relevante do sistema: autenticações, criação de processos, modificações de política e falhas de segurança. Eliminar esses registros é um passo clássico de cobertura de rastros, executado tipicamente antes ou logo após a exfiltração de dados ou implantação de mecanismos de persistência. Com privilégios de administrador, o adversário pode limpar todos os canais de log utilizando comandos nativos do sistema: `wevtutil cl system`, `wevtutil cl application` e `wevtutil cl security`. Alternativamente, o [[t1059-001-powershell|PowerShell]] oferece o cmdlet `Remove-EventLog -LogName Security`, que remove o log de segurança inteiramente - o que impede inclusive o registro de novos eventos até a próxima reinicialização. Em casos mais agressivos, os arquivos `.evtx` são deletados diretamente em `C:\Windows\System32\winevt\logs\`, abordagem que pode ser executada por malwares como [[s0368-notpetya|NotPetya]] e [[s0688-meteor|Meteor]] para apagamento massivo antes de operações destrutivas. No contexto brasileiro e latino-americano, essa técnica é rotineiramente observada em incidentes de ransomware - o [[s1202-lockbit-30|LockBit 3.0]] e o [[s1212-ransomhub|RansomHub]], dois dos grupos mais ativos na região, incluem rotinas automáticas de limpeza de logs como parte de seus payloads de pré-encriptação. Grupos de espionagem como o [[g0050-apt32|APT32]] (OceanLotus), com histórico de operações contra empresas brasileiras, também utilizam a técnica sistematicamente para comprometer investigações forenses. **Contexto Brasil/LATAM:** Incidentes de ransomware no setor de saúde e financeiro brasileiro frequentemente chegam às equipes de resposta com logs limpos - tornando a reconstrução da linha do tempo de ataque impossível sem fontes alternativas como SIEM centralizado ou NDR. O [[s1212-ransomhub|RansomHub]], identificado em múltiplos incidentes brasileiros em 2024-2025, executa `wevtutil cl` em todos os canais como parte de seu script de implantação antes de iniciar a encriptação. A ausência de log centralizado - ainda comum em PMEs brasileiras - é o fator que transforma essa técnica de contornável em letal para a investigação. ## Attack Flow ```mermaid graph TB A([Acesso Inicial]) --> B([Escalada de Privilégio]) B --> C([Limpeza de Event Logs]):::highlight C --> D([Persistência / Lateral Movement]) D --> E([Impacto - Ransomware / Exfiltração]) classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona ### 1. Preparação O adversário obtém privilégios administrativos no host alvo - via [[t1078-valid-accounts|Valid Accounts]], exploração de vulnerabilidade local ou [[t1548-abuse-elevation-control-mechanism|Abuse Elevation Control Mechanism]]. Com acesso elevado, mapeia quais canais de log contêm evidências da intrusão: o canal Security registra logons (Event ID 4624/4625), criação de processos (4688) e modificações de grupo (4728); o canal System registra alterações de serviço (7045) e outros eventos estruturais. Antes de limpar, alguns grupos (como [[g0096-apt41|APT41]]) fazem dump dos logs para análise offline - garantindo que suas próprias ações estejam documentadas para eventual reutilização ou leitura posterior. ### 2. Execução A limpeza é executada por um ou mais dos seguintes métodos, em geral dentro de um script batch ou sessão [[t1059-001-powershell|PowerShell]] remota: - `wevtutil cl system && wevtutil cl application && wevtutil cl security` - limpeza rápida via utilitário nativo - `Remove-EventLog -LogName Security` - remoção completa do canal via PowerShell (desabilita logging até reboot) - Deleção direta dos arquivos `.evtx` em `C:\Windows\System32\winevt\logs\` via `del` ou API de arquivo - Uso de ferramenta [[s0645-wevtutil|Wevtutil]] empacotada no payload do malware para garantir execução sem dependência do PATH do sistema Variantes destrutivas como [[s0365-olympic-destroyer|Olympic Destroyer]] combinam a limpeza de logs com deleção de shadow copies e MBR, tornando a recuperação práticamente inviável. ### 3. Pós-execução Após a limpeza, o adversário continua as operações (movimentação lateral, encriptação, exfiltração) com significativa redução do rastro forense disponível. Em investigações posteriores, a ausência dos logs é, ela mesma, um indicador de comprometimento - desde que o time de IR tenha visibilidade sobre o que "deveria" estar nos logs. Grupos como [[g1017-volt-typhoon|Volt Typhoon]] combinam essa técnica com living-off-the-land (LoTL), garantindo que mesmo sem logs de processo, a presença de ferramentas nativas dificulte a atribuição. ## Detecção **Event IDs relevantes:** | Event ID | Fonte | Descrição | |----------|-------|-----------| | 1102 | Security | Audit log cleared - evento gerado no momento da limpeza do log de segurança | | 104 | System | Event Log Service Stopped / Log Cleared - indica limpeza do System log | | 4688 | Security | Process Creaté - monitorar `wevtutil.exe` com parâmetros `cl` ou `clr` | | 4698 / 4702 | Security | Scheduled Task Created/Modified - adversários podem agendar limpeza periódica | | Sysmon 1 | Sysmon | Process Creaté - `wevtutil` com args `cl`, `clr`; `powershell` com `Remove-EventLog` | | Sysmon 11 | Sysmon | File Delete - deleção de arquivos `.evtx` em `C:\Windows\System32\winevt\logs\` | **Regra Sigma - Limpeza de Event Log via Wevtutil:** ```yaml title: Windows Event Log Cleared via Wevtutil id: b9e3d2c7-4f1a-4b88-9c5d-2e7f8a1b3d4e status: stable description: > Detecta limpeza de logs de eventos do Windows via wevtutil.exe, técnica clássica de evasão de defesa (T1070.001) author: RunkIntel daté: 2026-03-24 logsource: product: windows category: process_creation detection: selection_wevtutil: Image|endswith: '\wevtutil.exe' CommandLine|contains: - ' cl ' - ' clr ' - 'clear-log' selection_powershell: Image|endswith: - '\powershell.exe' - '\pwsh.exe' CommandLine|contains: - 'Remove-EventLog' - 'Clear-EventLog' condition: 1 of selection_* falsepositives: - Administradores de sistema executando limpeza manual documentada - Scripts de manutenção autorizados (verificar com equipe de TI) level: high tags: - attack.defense_evasion - attack.t1070.001 ``` ## Mitigação | ID | Mitigação | Ação Recomendada para Organizações Brasileiras | |----|-----------|-----------------------------------------------| | M1022 | [[m1022-restrict-file-and-directory-permissions\|M1022 - Restrict File and Directory Permissions]] | Restringir permissões de escrita e deleção nos arquivos `.evtx` em `C:\Windows\System32\winevt\logs\`; apenas o serviço Windows Event Log (LocalSystem) deve ter acesso de escrita | | M1029 | [[m1029-remote-data-storage\|M1029 - Remote Data Storage]] | Implementar coleta centralizada de logs via SIEM (Splunk, Microsoft Sentinel, Elastic SIEM) ou syslog remoto - logs enviados em tempo real para servidor externo não podem ser apagados localmente pelo atacante | | M1041 | [[m1041-encrypt-sensitive-information\|M1041 - Encrypt Sensitive Information]] | Habilitar proteção de logs via Windows Event Forwarding (WEF) com assinatura digital; configurar auditoria de acesso a arquivos nos diretórios de log | | - | Auditoria de uso do wevtutil | Criar alerta em SIEM para qualquer execução de `wevtutil.exe` com parâmetros de limpeza fora de jánela de manutenção documentada | | - | Log de auditoria imutável | Para ambientes críticos (financeiro, saúde), considerar soluções de log append-only com garantia de integridade (AWS CloudTrail, Azure Monitor com retenção imutável) | ## Threat Actors que Usam - [[g0061-fin8|FIN8]] - grupo de crime financeiro que limpa logs sistematicamente após roubo de dados de cartões em redes de varejo e hospitalidade; documentado em incidentes na América do Sul - [[g1017-volt-typhoon|Volt Typhoon]] - APT chinês com foco em infraestrutura crítica; usa limpeza de logs como parte de operações de espionagem living-off-the-land contra governos ocidentais - [[g0114-chimera|Chimera]] - grupo APT focado em aviação e telecomúnicações; apaga logs após movimentação lateral em redes corporativas para dificultar investigação - [[g0143-aquatic-panda|Aquatic Panda]] - APT chinês com operações em saúde e telecomúnicações; integra limpeza de logs como etapa padrão pós-comprometimento - [[g0007-apt28|APT28]] - grupo de espionagem russo (GRU); utiliza a técnica em operações de alto perfil contra governos e infraestrutura crítica ocidental - [[g0096-apt41|APT41]] - grupo dual-purpose chinês (espionagem + crime); combina limpeza de logs com implantação de rootkits para persistência de longo prazo - [[g0119-indrik-spider|Indrik Spider]] - operador do ransomware BitPaymer/WastedLocker; scripts de limpeza de log são padrão no toolkit de pré-encriptação - [[g0082-apt38|APT38]] - célula financeira norte-coreana; apaga logs após roubo de dados bancários SWIFT para retardar identificação e resposta - [[g0035-dragonfly|Dragonfly]] - grupo russo focado em energia; utiliza a técnica em operações de espionagem de longa duração contra setor elétrico - [[g0050-apt32|APT32]] - OceanLotus vietnamita com histórico de operações contra empresas brasileiras; limpeza de logs é etapa padrão do framework de pós-exploração do grupo ## Software Associado - [[s1202-lockbit-30|LockBit 3.0]] - script de pré-encriptação inclui rotina automática de `wevtutil cl` em todos os canais; amplamente utilizado em ataques no Brasil e LATAM - [[s1212-ransomhub|RansomHub]] - ransomware-as-a-service ativo em múltiplos incidentes brasileiros; limpa logs como etapa padrão antes de encriptação - [[s0368-notpetya|NotPetya]] - wiper destrutivo; apagamento de logs foi parte da campanha de destruição massiva de 2017, com impacto em filiais de empresas com operações no Brasil - [[s0688-meteor|Meteor]] - wiper iraniano; deleta arquivos `.evtx` diretamente como parte de sequência de destruição - [[s0242-synack|SynAck]] - ransomware com técnicas avançadas de evasão; inclui módulo de limpeza de logs pré-encriptação - [[s1178-shrinklocker|ShrinkLocker]] - ransomware que combina BitLocker com limpeza de logs para maximizar o dano e dificultar resposta a incidentes - [[s1060-mafalda|Mafalda]] - implante sofisticado associado ao Subzero/KNOTWEED; limpa evidências de execução dos canais de log do sistema - [[s0645-wevtutil|Wevtutil]] - ferramenta nativa do Windows frequentemente empacotada ou referênciada por malwares para garantir execução da limpeza - [[s0532-lucifer|Lucifer]] - malware híbrido de mineração e DDoS; apaga logs como parte de rotina de persistência no sistema - [[s0365-olympic-destroyer|Olympic Destroyer]] - wiper destrutivo implantado nas Olimpíadas de Inverno 2018; combinou limpeza de logs com deleção de backups e corrupção de MBR --- *Fonte: [MITRE ATT&CK - T1070.001](https://attack.mitre.org/techniques/T1070/001)*