t1562-001-disable-or-modify-tools

# T1562.001 - Disable or Modify Tools ## Técnica Pai Esta é uma sub-técnica de [[t1562-impair-defenses|T1562 - T1562 - Impair Defenses]]. ## Descrição Antes de executar o payload principal - sejá um ransomware, um stealer ou um implante de longa duração - adversários sofisticados dedicam tempo considerável a neutralizar as ferramentas de defesa do ambiente. T1562.001 cobre exatamente isso: o conjunto de técnicas usadas para desabilitar, modificar ou interferir com software de segurança de forma que o restante da operação ocorra sem alertas ou bloqueios. As abordagens são variadas e evoluem continuamente para acompanhar os mecanismos de proteção modernos. A mais simples é encerrar processos de antivírus ou EDR via `taskkill` ou chamadas de API como `TerminateProcess`. Uma abordagem mais sofisticada envolve modificar chaves do Registro que controlam o comportamento dessas ferramentas - por exemplo, alterar os valores `Start` e `Enable` em `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-Microsoft-Windows-Sysmon-Operational` para silenciar o Sysmon sem removê-lo. Outro vetor crescente é o abuso de drivers legítimos (técnica conhecida como BYOVD - Bring Your Own Vulnerable Driver): o adversário carrega um driver com vulnerabilidade conhecida para acessar o espaço do kernel e desabilitar produtos de EDR que rodam protegidos pelo Windows Protected Process Light (PPL). Grupos como [[g0119-indrik-spider|Indrik Spider]] e operadores de [[s0446-ryuk|Ryuk]] foram observados usando o driver do Process Explorer para encerrar processos de segurança que não poderiam ser terminados no user-mode. Uma variante ainda mais furtiva abusa do Windows Time Travel Debugging (TTD) para injetar um debugger no processo do EDR, suspendendo todos os seus processos filhos e causando falha funcional sem aparente intervenção do atacante. Em ambientes de nuvem, a técnica se manifesta de forma diferente: adversários desabilitam agentes de monitoramento como AWS CloudWatch Agent ou Google Cloud Monitor, removem políticas de log ou modificam grupos de segurança para bloquear o envio de telemetria. Em dispositivos de rede, modificações nos arquivos de configuração de boot podem desabilitar verificações de assinatura de firmware. **Contexto Brasil/LATAM:** T1562.001 é uma das técnicas mais frequentemente observadas em incidentes de ransomware no Brasil. Grupos como [[g1051-medusa-ransomware|Medusa Group]] e [[g1032-inc-ransom|INC Ransom]] - ambos com vítimas documentadas no setor de saúde e varejo brasileiro - desabilitam sistematicamente o Windows Defender e produtos de EDR como parte de seus playbooks de intrusão antes de executar a cifragem. O [[g0119-indrik-spider|Indrik Spider]], desenvolvedor do ransomware [[s0446-ryuk|Ryuk]] e do Evil Corp, tem histórico de operações contra empresas de grande porte no Brasil, utilizando [[s0154-cobalt-strike|Cobalt Strike]] combinado com scripts de desabilitação de EDR. Em ambientes Linux e de contêineres - cada vez mais presentes em fintechs e bancos brasileiros - a técnica se manifesta como remoção de agentes Falco, modificação de regras auditd, ou desabilitação de AppArmor/SELinux. ## Attack Flow ```mermaid graph TB A[Acesso Inicial] --> B[Escalação de Privilégios] B --> C{{"T1562.001<br/>Desabilitar Defesas"}} C --> D[Execução de Payload] D --> E[Ransomware / Exfiltração] style C fill:#e74c3c,color:#fff ``` ## Como Funciona 1. **Preparação:** O adversário já possui privilégios elevados (geralmente SYSTEM ou Administrador local) obtidos via escalonamento de privilégios ([[t1068-exploitation-privilege-escalation|T1068]] ou outros vetores). Nesta fase, realiza reconhecimento dos produtos de segurança instalados - frequentemente via [[t1012-query-registry|T1012 Query Registry]] - para identificar qual solução de EDR/AV está ativa e selecionar o método de desabilitação mais adequado. 2. **Execução:** Dependendo da solução de segurança identificada, o adversário aplica um ou mais dos seguintes métodos: (a) encerramento direto de processos via `taskkill /F /IM <processo_edr>.exe`; (b) desabilitação de serviços via `sc stop <serviço>` + `sc config <serviço> start= disabled`; (c) modificação de chaves do Registro para desativar logging (Sysmon, Windows Event Log); (d) uso de BYOVD para desabilitar proteções via kernel; (e) adição de exclusões ao Defender via PowerShell (`Add-MpPreference -ExclusionPath`); (f) uso de ferramentas como GMER para encerrar processos ocultos de rootkits de segurança. 3. **Pós-execução:** Com as defesas neutralizadas, o adversário possui uma jánela operacional - tipicamente de minutos a horas - para executar o objetivo final (cifragem, exfiltração, instalação de implante persistente) antes que a ausência de telemetria sejá detectada pelo SOC ou que ferramentas de segurança sejam reiniciadas automaticamente. O ataque frequentemente inclui desabilitação de backups (Volume Shadow Copies via `vssadmin delete shadows`) como etapa complementar. ## Detecção **Fontes de dados:** - **Sysmon Event ID 1** (Process Creation) - `taskkill.exe` com parâmetros apontando para processos de segurança conhecidos; `sc.exe` modificando serviços de EDR - **Sysmon Event ID 13** (Registry Value Modified) - alterações em chaves de controle do Windows Defender (`HKLM\SOFTWARE\Policies\Microsoft\Windows Defender`) ou Sysmon Autologger - **Windows Event ID 7036** (System) - serviço de segurança entrou em estado "stopped" - **Windows Event ID 4719** - política de auditoria do sistema modificada (indica tentativa de cegar logs) - **Windows Event ID 4688** - linha de comando contendo `Add-MpPreference -ExclusionPath` ou `Set-MpPreference -DisableRealtimeMonitoring $true` - **Auditoria de drivers (Sysmon Event ID 6)** - carregamento de drivers assinados mas com CVEs conhecidos (BYOVD) - **Alertas do próprio EDR** - produtos modernos geram alertas quando seus processos são encerrados de forma inesperada **Sigma Rule:** ```yaml title: Security Tool Disabled via Registry or Service Modification id: c5d3e4f6-a7b8-9012-cdef-345678901234 status: experimental description: > Detecta tentativas de desabilitar ferramentas de segurança via modificação de Registro, encerramento de serviços ou exclusões no Defender - padrão central em T1562.001 antes de execução de ransomware. logsource: category: process_creation product: windows detection: selection_defender_disable: Image|endswith: - '\powershell.exe' - '\pwsh.exe' CommandLine|contains: - 'DisableRealtimeMonitoring' - 'DisableBehaviorMonitoring' - 'DisableIOAVProtection' - 'Add-MpPreference -ExclusionPath' - 'Set-MpPreference -Disable' selection_sc_stop: Image|endswith: '\sc.exe' CommandLine|contains: - ' stop ' - ' delete ' - 'start= disabled' CommandLine|contains: - 'WinDefend' - 'Sense' - 'MsMpEng' - 'CSFalcon' - 'SentinelAgent' selection_taskkill: Image|endswith: '\taskkill.exe' CommandLine|contains: - 'MsMpEng' - 'avgnt' - 'bdagent' - 'ekrn' - 'csfalconservice' condition: 1 of selection_* falsepositives: - Desinstalação legítima de software de segurança por equipe de TI - Ambientes de laboratório e testes controlados level: high tags: - attack.defense_evasion - attack.t1562.001 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[m1038-execution-prevention\|M1038 - Execution Prevention]] | Implementar Application Control (WDAC ou AppLocker) para bloquear execução de ferramentas de desabilitação por usuários não privilegiados. Criar política de allowlist para ferramentas administrativas legítimas e bloquear variantes conhecidas usadas por atacantes (ex: GMER, Process Hacker em versões não assinadas). | | [[m1024-restrict-registry-permissions\|M1024 - Restrict Registry Permissions]] | Restringir permissões de escrita nas chaves do Registro que controlam Windows Defender, Sysmon e serviços de EDR. Configurar ACLs via GPO para que apenas `SYSTEM` e grupos de administração específicos possam modificar `HKLM\SOFTWARE\Policies\Microsoft\Windows Defender` e chaves de Autologger. | | [[m1018-user-account-management\|M1018 - User Account Management]] | Adotar modelo de Privileged Access Workstations (PAW) para operações administrativas. Exigir aprovação de segundo fator para desabilitação de ferramentas de segurança em produção. Limitar quem pode executar `sc stop` em serviços críticos de segurança via User Rights Assignment no GPO. | | [[m1022-restrict-file-and-directory-permissions\|M1022 - Restrict File and Directory Permissions]] | Proteger diretórios de instalação de EDRs contra escrita por usuários sem privilégios. Em Linux, usar atributos de arquivo imutáveis (`chattr +i`) em arquivos de configuração de segurança. Em contêineres, montar volumes de configuração como read-only. | | [[m1047-audit\|M1047 - Audit]] | Auditar regularmente o estado dos serviços de segurança e integridade de suas configurações. Implementar alertas SIEM para quando serviços de EDR ficam offline por mais de 5 minutos sem mudança de manutenção programada. Revisar logs de exclusões adicionadas ao Windows Defender semanalmente. | ## Threat Actors - [[g1032-inc-ransom|INC Ransom]] - operador de ransomware com vítimas documentadas no Brasil (saúde e varejo); desabilita EDRs e backups sistematicamente antes da cifragem - [[g1048-unc3886|UNC3886]] - grupo chinês especializado em ambientes VMware/ESXi; desabilita ferramentas de segurança em hypervisors para permanecer indetectável por anos - [[g1018-ta2541|TA2541]] - ator de ameaça focado em aviação e transporte; usa scripts para desabilitar defesas antes de instalar RATs - [[g0010-turla|Turla]] - grupo russo (FSB) que usa técnicas avançadas de desabilitação de EDR via hooking e BYOVD em operações de espionagem de longa duração - [[g1051-medusa-ransomware|Medusa Group]] - ransomware group com múltiplas vítimas no setor de saúde brasileiro; desabilita Windows Defender e serviços de backup como parte padrão do playbook - [[g1047-velvet-ant|Velvet Ant]] - grupo chinês que desabilitou ferramentas de segurança em dispositivos Cisco para manter acesso persistente em redes corporativas - [[g1030-agrius|Agrius]] - grupo iraniano com foco em operações destrutivas; desabilita defesas antes de executar wipers disfarçados de ransomware - [[g0069-mango-sandstorm|MuddyWater]] - grupo iraniano (MOIS) que usa scripts PowerShell para desabilitar Windows Defender em campanhas de espionagem - [[g1052-contagious-interview|Contagious Interview]] - campanha do [[g0032-lazarus-group|Lazarus Group]] que usa malware disfarçado de ferramenta de entrevista para desabilitar defesas e roubar credenciais - [[g0119-indrik-spider|Indrik Spider]] - desenvolvedor do Evil Corp e [[s0446-ryuk|Ryuk]]; pioneiro no uso de BYOVD para desabilitar EDRs protegidos por PPL em grandes corporações ## Software Associado - [[s0253-runningrat|RunningRAT]] - RAT que desabilita serviços de segurança como parte de sua rotina de instalação - [[s0559-sunburst|SUNBURST]] - backdoor da cadeia de suprimentos SolarWinds que desabilitava serviços de segurança específicos para evitar detecção - [[s0659-diavol|Diavol]] - ransomware que encerra processos de segurança antes da cifragem usando lista predefinida de processos-alvo - [[s0132-h1n1|H1N1]] - malware que desabilita Windows Defender e ferramentas de análise na inicialização - [[s0446-ryuk|Ryuk]] - ransomware do [[g0119-indrik-spider|Indrik Spider]] que usa scripts BAT para encerrar dezenas de processos de segurança e backup - [[s0457-netwalker|Netwalker]] - ransomware que usa PowerShell refletivo para desabilitar defesas sem tocar o disco - [[s1240-redline-stealer|RedLine Stealer]] - stealer popular que desabilita Windows Defender via exclusões antes de se instalar - [[s0692-silenttrinity|SILENTTRINITY]] - framework de C2 em Python/.NET que inclui módulos para desabilitar ferramentas de segurança - [[s0496-revil|REvil]] - ransomware que modificava chaves do Registro para desabilitar defesas e adicionava exclusões ao Defender - [[s0154-cobalt-strike|Cobalt Strike]] - framework de C2 amplamente abusado que possui módulos nativos para desabilitação de AV/EDR via BOFs (Beacon Object Files) --- *Fonte: [MITRE ATT&CK - T1562.001](https://attack.mitre.org/techniques/T1562/001)*