# T1562.001 - Disable or Modify Tools > [!info] Identificação MITRE ATT&CK > **Tática:** Defense Evasion · **ID:** T1562.001 · **Plataformas:** Windows · macOS · Linux > **Técnica pai:** T1562 - Impair Defenses · **Frequência:** Presente em quase 100% dos ataques de ransomware ## Descrição **T1562.001 - Impair Defenses: Disable or Modify Tools** descreve ações deliberadas de adversários para **desativar, degradar ou modificar ferramentas de segurança** - antivírus (AV), Endpoint Detection and Response (EDR), agentes SIEM, firewalls de host e outros controles de segurança - com o objetivo de cegar a capacidade de detecção e resposta do defensor antes, durante e após uma intrusão. Esta é uma das técnicas de maior prevalência em ataques modernos: é documentada em **quase 100% das intrusões de ransomware** e em grande parte das campanhas APT. A lógica operacional é direta - antes de executar um payload destrutivo ou exfiltrar dados, o adversário elimina a maior ameaça à sua operação: as ferramentas que poderiam detectá-lo e interrompê-lo. As ações cobertas por T1562.001 incluem um espectro amplo: - **Desativação completa** de produtos de segurança (encerramento de processos, parada de serviços) - **Modificação furtiva** de configurações de EDR para reduzir fidelidade de detecção sem alertas óbvios - **Corrupção de definições** de assinaturas de AV para tornar malware conhecido invisível - **Exclusão de caminhos e processos** das verificações de segurança (whitelisting no produto de segurança) - **Desativação de logs** de auditoria e eventos do Windows para eliminar evidências forenses - **Remoção de agentes** de monitoramento de SIEM e ferramentas de resposta a incidentes A técnica é frequentemente executada em conjunto com [[t1489-service-stop|T1489 - Service Stop]] (parar serviços de backup e banco de dados) e [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] (excluir shadow copies) como parte de um playbook de preparação pré-ransomware padronizado. ## Como Funciona ### Vetores de Desativação no Windows **Via processos - taskkill.exe** O método mais direto e historicamente o mais comum. O adversário executa uma série de comandos `taskkill /f /im` contra processos de produtos de segurança conhecidos. Grupos de ransomware como [[lockbit|LockBit]] mantêm listas hardcoded com dezenas ou centenas de nomes de processos de produtos de segurança. **Via serviços - sc.exe / net stop** Serviços de segurança são parados e/ou desabilitados para impedir reinicialização automática. Um adversário com privilégios de administrador pode usar `sc stop <serviço>` e `sc config <serviço> start=disabled` para garantir que o serviço não sejá restaurado após reinicialização. **Via PowerShell / Registro do Windows (Windows Defender)** O Windows Defender pode ser desativado via PowerShell com cmdlets como `Set-MpPreference -DisableRealtimeMonitoring $true` ou através de modificações no registro em `HKLM\SOFTWARE\Policies\Microsoft\Windows Defender`. Ambas as abordagens funcionam em sistemas sem **Tamper Protection** habilitada. **Via exclusões de produto de segurança** Em vez de desativar completamente, um adversário pode adicionar exclusões ao produto de segurança para que o caminho onde o malware reside sejá ignorado. Isso é preferido por atores sofisticados como [[g0016-apt29|APT29]] porque não gera o alerta óbvio de "produto de segurança desabilitado". **Via drivers maliciosos - BYOVD** Bring Your Own Vulnerable Driver (BYOVD) - carregamento de drivers legítimos mas vulneráveis para executar código em modo kernel e terminar processos de EDR que protegem contra término em user-mode. Documentado em campanhas de [[lockbit|LockBit]] (driver Gmer.sys), [[cl0p|Cl0p]] (driver POORTRY/STONESTOP) e outros. **Em Linux/macOS** - Desativação de `auditd` (Linux): `systemctl stop auditd` ou modificação de `/etc/audit/auditd.conf` - Remoção de agentes CrowdStrike/SentinelOne via comandos de gestão do produto - Modificação de regras de AppArmor/SELinux para reduzir monitoramento ### Progressão Típica em Ataque de Ransomware ``` Acesso inicial → Escalação de privilégios → [T1562.001] Desativar AV/EDR → [T1489] Parar serviços → [T1490] Excluir shadow copies → Criptografia ``` ## Attack Flow ```mermaid graph TB A([Adversário - privilégios<br/>Administrador ou SYSTEM]) --> B{Método de desativação} B --> C[Direto - Processos<br/>taskkill /f /im produto.exe] B --> D[Serviços<br/>sc stop + sc config disabled] B --> E[Registro / PowerShell<br/>Set-MpPreference DisableRealtime] B --> F[Exclusões no produto<br/>Add-MpPreference -ExclusionPath] B --> G[BYOVD - Driver vulnerável<br/>Terminar processo EDR via kernel] C --> H[Processo AV/EDR<br/>terminado imediatamente] D --> I[Serviço de segurança<br/>parado e desabilitado] E --> J[Windows Defender<br/>desabilitado via política] F --> K[Caminho do malware<br/>excluído da inspeção] G --> L[Driver kernel carregado<br/>Processo EDR terminado via ZwTerminateProcess] H --> M{Avaliação de proteção\nrestante} I --> M J --> M K --> M L --> M M --> N[Tamper Protection ausente<br/>ou contornada] M --> O[Tamper Protection ativa<br/>Contorno falhou] N --> P[Jánela de operação<br/>Aberta - detecção mínima] O --> Q[Adversário usa BYOVD<br/>ou técnica alternativa] Q --> P P --> R[T1489 - Parar serviços<br/>de backup e BD] P --> S[T1490 - Excluir<br/>shadow copies] P --> T[Deploy do payload<br/>ransomware / implante persistente] R --> U([Impacto máximo<br/>Recuperação dificultada]) S --> U T --> U style A fill:#c0392b,color:#fff style P fill:#e74c3c,color:#fff style U fill:#8e44ad,color:#fff style N fill:#e67e22,color:#fff style G fill:#c0392b,color:#fff style L fill:#c0392b,color:#fff ``` ## Exemplos de Uso por Atores Reais ### Ransomware > [!example] LockBit - Rotina Automatizada de Desativação > O [[lockbit|LockBit]] (especialmente versões 2.0 e 3.0) inclui uma rotina extensiva e automatizada de desativação de ferramentas de segurança como **etapa obrigatória** antes da criptografia. A lista de processos alvo inclui mais de 150 nomes de processos de AV e EDR - incluindo Windows Defender, Kaspersky, ESET, Malwarebytes, CrowdStrike Falcon, SentinelOne, Symantec, McAfee e dezenas de outros. Na campanha [[operation-cronos|Operation Cronos]] (derrubada da infraestrutura LockBit em 2024), análise forense confirmou que a rotina de desativação era executada via script bat antes do loader de criptografia. > [!example] Cl0p - POORTRY/STONESTOP BYOVD > O grupo [[cl0p|Cl0p]] utilizou os drivers maliciosos **POORTRY** e **STONESTOP** - carregados como drivers legítimos assinados via certificados roubados ou comprados - para terminar processos de EDR em modo kernel, contornando a Tamper Protection de produtos como CrowdStrike e SentinelOne. Esta técnica de BYOVD foi amplamente documentada após os ataques de 2023 ao GoAnywhere MFT (CVE-2023-0669), onde T1562.001 via driver malicioso foi confirmado em múltiplas vítimas. > [!example] APT29 - Modificação Furtiva de Configurações de EDR > Diferente dos grupos de ransomware que desativam tudo abruptamente, o [[g0016-apt29|APT29]] (Cozy Bear, SVR) emprega uma abordagem mais sofisticada: **modificação de configurações de EDR** para reduzir a fidelidade de detecção sem disparar alertas de produto desabilitado. Isso inclui aumentar thresholds de detecção, desabilitar módulos específicos de inspeção comportamental e adicionar exclusões cirúrgicas. O objetivo é manter o produto operacional (para não alertar o SOC) mas cego às suas atividades específicas. ### Malware e Ferramentas | Software | Implementação de T1562.001 | Contexto | |---------|--------------------------|---------| | [[lockbit\|LockBit 3.0]] | Lista hardcoded de 150+ processos de segurança; `taskkill` em loop | Ransomware mais ativo de 2022-2024 | | [[blackcat\|ALPHV]] | Script PowerShell de desativação de Defender + `sc stop` para serviços EDR | RaaS com afiliados LATAM | | [[s0367-emotet\|Emotet]] | Desabilita Windows Defender via registro antes de baixar payload secundário | Loader/dropper multipropósito | | [[s0154-cobalt-strike\|Cobalt Strike]] | Módulo `post/windows/manage/killav` e BOFs para desativação de produtos | Amplamente usado em APT e ransomware | | [[metasploit\|Metasploit]] | Módulo `post/multi/manage/screenshare` e módulos de killav | Framework de exploração | ## Detecção ### Indicadores de Comprometimento (IoCs Comportamentais) - `taskkill.exe` executado com lista de nomes de processos de produtos de segurança conhecidos - `sc.exe` ou `net stop` aplicados a serviços de AV/EDR (`MsMpEng`, `SentinelAgent`, `CSFalconService`, `CrowdStrike`) - Modificação de chave de registro `HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware` - `Set-MpPreference` com parâmetros de desativação em linha de comando PowerShell - Carregamento de driver com assinatura incomum via `sc.exe` ou `NtLoadDriver` - Processo de produto de segurança sendo terminado por processo não-sistema ### Regra Sigma - Desativação de Windows Defender via PowerShell ```yaml title: T1562.001 - Windows Defender Disabled via PowerShell id: 1a3f9c2d-7b4e-5a8f-c6d1-2e9b4a7f3c1d status: stable description: > Detecta tentativas de desativação do Windows Defender via cmdlet Set-MpPreference, indicativo de T1562.001. references: - https://attack.mitre.org/techniques/T1562/001/ - https://docs.microsoft.com/en-us/powershell/module/defender/set-mppreference author: RunkIntel Detection Engineering daté: 2026-03-25 tags: - attack.defense_evasion - attack.t1562.001 logsource: category: process_creation product: windows detection: selection: Image|endswith: - '\powershell.exe' - '\pwsh.exe' CommandLine|contains: - 'Set-MpPreference' disable_args: CommandLine|contains: - 'DisableRealtimeMonitoring' - 'DisableAntiSpyware' - 'DisableAntiVirus' - 'DisableIOAVProtection' - 'DisableScriptScanning' - 'DisableBehaviorMonitoring' condition: selection and disable_args falsepositives: - Scripts de hardening que explicitamente desabilitam Defender em substituição por produto corporativo level: high ``` ### Regra Sigma - taskkill em Massa de Produtos de Segurança ```yaml title: T1562.001 - Mass Security Product Process Termination id: 9d2b5f1a-3c7e-4b9d-a8f3-6e1c4b2d9a5f status: stable description: > Detecta uso de taskkill.exe visando processos de produtos de segurança conhecidos, indicativo de preparação pré-ransomware. references: - https://attack.mitre.org/techniques/T1562/001/ author: RunkIntel Detection Engineering daté: 2026-03-25 tags: - attack.defense_evasion - attack.t1562.001 - attack.impact logsource: category: process_creation product: windows detection: taskkill: Image|endswith: '\taskkill.exe' CommandLine|contains: '/f' security_products: CommandLine|contains: - 'MsMpEng' - 'SentinelAgent' - 'CSFalconService' - 'bdservicehost' - 'MBAMService' - 'ekrn' - 'avgnt' - 'avp.exe' - 'SAVAdminService' - 'SepMasterService' condition: taskkill and security_products falsepositives: - Processos de desinstalação legítima de produtos de segurança - Scripts de atualização de versão de AV level: critical ``` ### Fontes de Dados Recomendadas | Fonte | Event ID / Categoria | Detalhe | |-------|---------------------|---------| | Sysmon | 1 (Process Creation) | Captura `taskkill`, `sc.exe`, `net stop` com argumentos completos | | Windows Security | 7036 (System) | Serviço de segurança parado ou iniciado | | Windows Security | 4657 | Modificação de chave de registro (requer auditoria de objeto ativada) | | Microsoft Defender for Endpoint | Alert | Alerta nativo de tentativa de desativação de Tamper Protection | | EDR Telemetry | Behavioral | Detecção de sequência: escalação → desativação → payload | | PowerShell ScriptBlock Logging | 4104 | Captura `Set-MpPreference` com argumentos de desativação | ## Mitigação | ID | Mitigação | Implementação | Eficácia | |----|-----------|---------------|---------| | M1054 | Software Configuration | **Habilitar Tamper Protection** em Microsoft Defender for Endpoint, CrowdStrike, SentinelOne - bloqueia modificações mesmo por admins locais | Muito Alta | | M1022 | Restrict File and Directory Permissions | Restringir permissões de escrita em chaves de registro de produtos de segurança | Alta | | M1026 | Privileged Account Management | Exigir MFA e aprovação separada para ações de gestão em produtos de segurança | Alta | | M1018 | User Account Management | Usar contas de serviço dedicadas para gerenciamento de AV/EDR, separadas de contas de admin operacional | Média | | M1045 | Code Signing | Bloquear carregamento de drivers sem assinatura da Microsoft (HVCI + Secure Boot) | Alta contra BYOVD | | M1038 | Execution Prevention | Bloquear execução de scripts não assinados que chamam `Set-MpPreference` | Média | > [!warning] Tamper Protection é a Contramedida Mais Crítica > A funcionalidade de **Tamper Protection** - presente no Microsoft Defender for Endpoint (MDE), CrowdStrike Falcon, SentinelOne e outros EDRs modernos - é a contramedida mais eficaz contra T1562.001. Quando habilitada, impede que mesmo processos com privilégios administrativos modifiquem configurações ou terminem o agente de segurança. **Verificar que Tamper Protection está habilitada em 100% dos endpoints deve ser prioridade absoluta de qualquer programa de segurança.** ## Contexto Brasil/LATAM T1562.001 é **extremamente prevalente** no cenário de ameaças brasileiro e latino-americano, sendo documentada em práticamente todos os incidentes de ransomware investigados pela comunidade de segurança regional. **Ransomware no Brasil - Contexto Atual (2025-2026)** O Brasil ocupa consistentemente posição entre os países mais afetados por ransomware na América Latina, com setores de saúde, manufatura e governo particularmente expostos. Em 2025, operações de grupos como [[lockbit|LockBit]] (apesar da [[operation-cronos|Operation Cronos]]), [[cl0p|Cl0p]], e emergentes como [[qilin|Qilin]] e BlackBasta afetaram organizações brasileiras - com T1562.001 presente em 100% dos incidentes analisados públicamente. > [!example] Padrão Observado em Incidentes Brasileiros > Em incidentes de ransomware documentados no Brasil por 2024-2025, o padrão consistente é: > 1. Acesso via credencial VPN comprometida ou exploit de aplicação web exposta > 2. Escalação para Administrador local ou de domínio > 3. Desativação de Windows Defender e eventual produto EDR presente via scripts PowerShell e `taskkill` > 4. Deploy do ransomware em múltiplos hosts via GPO ou PSExec > > A jánela entre a desativação das ferramentas e o início da criptografia varia de minutos a horas. **Desafios Específicos no Mercado Brasileiro** - Adoção de **Tamper Protection** ainda baixa em PMEs - muitas organizações usam Windows Defender sem as configurações avançadas de proteção - Ambientes com **Windows Server 2008/2012** legados onde Tamper Protection não está disponível - Uso de produtos AV de **geração anterior** (sem capacidade comportamental) em segmentos de custo-sensível - Escassez de pessoal de SOC que monitore alertas de **desativação de ferramentas** em tempo real > [!tip] Recomendação para SOCs e CISOs no Brasil > Implementar alertas **de alta prioridade** no SIEM para qualquer evento de parada de serviço de segurança (`EventID 7036` com nome de serviço de AV/EDR) e para `taskkill` com processos de segurança como alvo. Esses alertas, quando correlacionados com escalação de privilégio recente, são indicadores de comprometimento ativo com altíssima fidelidade - são um dos poucos detectors que consistentemente antecedem o deploy de ransomware. **Setores mais expostos no Brasil:** - [[setor-saude|Setor de Saúde]] - hospitais com TI limitada e ambientes Windows legados - [[Manufatura]] - OT/IT com EDR ausente ou desatualizado - [[government|Governo Municipal e Estadual]] - orçamento de TI limitado, alta exposição a ransomware - [[financial|Setor Financeiro]] - alta alvo-atividade, mas geralmente com controles mais maduros ## Referências - [MITRE ATT&CK - T1562.001](https://attack.mitre.org/techniques/T1562/001/) - [MITRE ATT&CK - T1562 Impair Defenses (parent)](https://attack.mitre.org/techniques/T1562/) - [Microsoft - Tamper Protection in Microsoft Defender](https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection) - [BleepingComputer - LockBit Ransomware Security Tool Killing Routine](https://www.bleepingcomputer.com/news/security/lockbit-ransomware-now-also-kills-windows-defender/) - [Mandiant - POORTRY and STONESTOP BYOVD Analysis](https://www.mandiant.com/resources/blog/hunting-vulnerable-kernel-drivers) - [CERT.br - Cartilha de Segurança: Ransomware](https://cartilha.cert.br/ransomware/) - [Red Canary - 2024 Threat Detection Report: Impair Defenses](https://redcanary.com/threat-detection-report/) - [CrowdStrike - eCrime Campaign Analysis: Security Tool Disablement](https://www.crowdstrike.com/blog/) --- *Fonte: [MITRE ATT&CK - T1562.001](https://attack.mitre.org/techniques/T1562/001/) · Versão MITRE: 16.2*