# T1562.001 - Impair Defenses: Disable or Modify Tools > [!danger] Técnica Crítica de Evasão > Adversários desabilitam ou modificam ferramentas de segurança como antivírus, EDR e firewalls para evitar detecção e executar atividades maliciosas sem impedimentos. Presente em práticamente todas as operações de ransomware modernas. ## Visão Geral A desabilitação ou modificação de ferramentas de segurança é uma das técnicas de evasão de defesa mais comuns e críticas no panorama de ameaças atual. Adversários utilizam esta técnica para neutralizar soluções de proteção endpoint (AV, EDR, XDR), firewalls baseados em host, ferramentas de logging e mecanismos de controle de aplicação antes de executar seus objetivos primários. Esta técnica é onipresente em operações de ransomware. Grupos como [[lockbit-group|LockBit]], [[BlackCat]] e REvil sistematicamente desabilitam Windows Defender, terminam processos de EDR e deletam Volume Shadow Copies antes de executar a criptografia via [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]]. A técnica frequentemente precede a movimentação lateral via [[t1021-002-smb-windows-admin-shares|T1021.002]] e a escalação de privilégios via [[t1078-valid-accounts|T1078]]. Os métodos variam desde comandos simples como `net stop` e `sc config` até o abuso de drivers vulneráveis para desabilitar proteções em nível de kernel (BYOVD - Bring Your Own Vulnerable Driver), uma tendência crescente observada em campanhas de [[lockbit-group|LockBit]] e [[g0032-lazarus-group|Lazarus Group]]. Ferramentas como o KillAV, GMER e Process Hacker são frequentemente utilizadas como instrumentos de desabilitação. O impacto desta técnica é severo: ao neutralizar as defesas, o adversário opera em um ambiente "cego" onde nenhuma telemetria é gerada, tornando a investigação forense e a resposta a incidentes significativamente mais difíceis. ## Attack Flow ```mermaid graph TB subgraph "Acesso Inicial" A["🎣 Phishing / Exploit<br/>Acesso ao endpoint"] end subgraph "Escalação" B["🔑 Privilege Escalation<br/>Admin/SYSTEM necessário"] end subgraph "Defense Evasion" C["🛡️ Desabilitar AV/EDR<br/>T1562.001"] D["📝 Limpar Logs<br/>T1070.001"] E["🚫 Tamper Protection Off<br/>Registry/GPO modification"] end subgraph "Impacto" F["🔒 Ransomware / Exfil<br/>Objetivo final sem detecção"] end A --> B --> C --> D --> F C --> E --> F classDef initial fill:#3498db,stroke:#2980b9,color:#ecf0f1 classDef escalation fill:#e67e22,stroke:#d35400,color:#ecf0f1 classDef evasion fill:#e74c3c,stroke:#c0392b,color:#ecf0f1 classDef impact fill:#9b59b6,stroke:#8e44ad,color:#ecf0f1 class A initial class B escalation class C,D,E evasion class F impact ``` ## Como Funciona ### Métodos Comuns de Desabilitação | Método | Comando/Ferramenta | Alvo | |--------|-------------------|------| | **Parar serviços** | `net stop WinDefend`, `sc config disabled` | Windows Defender, AV services | | **Terminar processos** | `taskkill /F /IM MsMpEng.exe` | Processos de EDR/AV | | **Registry tampering** | `Set-MpPreference -DisableRealtimeMonitoring` | Windows Defender real-time | | **GPO modification** | Group Policy para desabilitar AV | Domain-wide AV disable | | **BYOVD** | Driver vulnerável para kill EDR em kernel | CrowdStrike, SentinelOne, Carbon Black | | **Safe Mode boot** | Reiniciar em Safe Mode (sem drivers EDR) | Todas as soluções EDR | | **Uninstall** | `msiexec /x` ou uninstall silencioso | Soluções AV completas | ### Ferramentas Utilizadas - **GMER** - Anti-rootkit que pode terminar processos protegidos - **Process Hacker** - Gerenciador de processos com capacidade de kill privilegiado - **KillAV** - Scripts e binários dedicados a desabilitar AV - **Backstab** - Ferramenta para terminar processos EDR protegidos - **PCHunter** - Ferramenta chinesa para manipulação de kernel - **Defender Control** - GUI para desabilitar Windows Defender ## Detecção | Método | Fonte de Dados | Indicadores | |--------|----------------|-------------| | Service monitoring | Windows Event 7036, 7045 | Serviço de AV/EDR parado ou desabilitado | | Process monitoring | Sysmon Event 1, EDR telemetry | `taskkill`, `sc stop`, `net stop` contra processos de segurança | | Registry monitoring | Sysmon Event 13 | Alterações em `DisableRealtimeMonitoring`, `TamperProtection` | | Driver loading | Sysmon Event 6 | Carregamento de drivers vulneráveis conhecidos (BYOVD) | | PowerShell logging | Event 4104 | `Set-MpPreference -Disable*` cmdlets | | Tamper protection alerts | EDR vendor alerts | Tentativas de desabilitar tamper protection | ### Regra Sigma ```yaml title: Desabilitação de Windows Defender via PowerShell id: 2b9c4e7f-1a3d-4f5b-8c6e-9d0f2a1b3c4d status: stable description: Detecta comandos PowerShell para desabilitar proteções do Windows Defender logsource: category: process_creation product: windows detection: selection_cmd: CommandLine|contains: - 'Set-MpPreference' - 'DisableRealtimeMonitoring' - 'DisableBehaviorMonitoring' - 'DisableBlockAtFirstSeen' - 'DisableIOAVProtection' - 'DisableScriptScanning' selection_sc: CommandLine|contains|all: - 'sc' - 'config' - 'WinDefend' - 'disabled' selection_stop: CommandLine|contains: - 'net stop WinDefend' - 'net stop MpsSvc' - 'taskkill /F /IM MsMpEng.exe' condition: selection_cmd or selection_sc or selection_stop falsepositives: - Administradores desabilitando temporariamente AV para instalação de software - Scripts de deploy automatizado level: high tags: - attack.defense_evasion - attack.t1562.001 ``` ## Mitigação - **Tamper Protection** - Habilitar Tamper Protection no Windows Defender e soluções EDR que ofereçam a funcionalidade; impede desabilitação mesmo com privilégios de administrador - **Monitoramento de integridade** - Configurar alertas para qualquer parada ou desabilitação de serviços de segurança via [[m1047-audit|M1047 - Audit]] - **Least privilege** - Restringir privilégios administrativos via [[m1026-privileged-account-management|M1026]] para limitar a capacidade de desabilitar ferramentas - **Driver block list** - Manter lista de drivers vulneráveis bloqueados (Microsoft WDAC recommended block list) para prevenir ataques BYOVD - **Redundância de telemetria** - Enviar logs para SIEM centralizado antes que possam ser deletados localmente - **Protected Process Light (PPL)** - Configurar EDR para rodar como PPL no Windows, dificultando terminação - **Baseline de serviços** - Manter inventário de serviços de segurança esperados e alertar em desvios ## Relevância LATAM/Brasil Esta técnica é criticamente relevante para o Brasil devido à epidemia de ransomware na região: - **Ransomware como serviço** - Operações de [[lockbit-group|LockBit]] e [[BlackCat]] que atingiram empresas brasileiras sistematicamente desabilitam defesas como primeiro passo, incluindo ataques ao setor de [[financial|serviços financeiros]] e [[government|governo]] - **BYOVD crescente** - Ataques documentados contra organizações brasileiras utilizando drivers vulneráveis da Gigabyte e Intel para neutralizar EDR, uma tendência que acompanha o aumento global - **Windows Defender como alvo primário** - Muitas PMEs brasileiras dependem exclusivamente do Windows Defender, tornando sua desabilitação suficiente para operar sem detecção - **Baixa maturidade de SOC** - Muitas organizações brasileiras não monitoram eventos de parada de serviço de AV, permitindo que a desabilitação passe despercebida por dias - **Ataques a hospitais e governo** - Incidentes de ransomware contra o Ministério da Saúde (2021) e hospitais brasileiros frequentemente envolveram desabilitação de ferramentas de segurança como etapa preparatória ## Referências - [MITRE ATT&CK - T1562.001](https://attack.mitre.org/techniques/T1562/001/) - [Sophos - Stopping Active Adversaries: The Story of BYOVD](https://news.sophos.com/en-us/category/threat-research/) - [CrowdStrike - BYOVD Attacks](https://www.crowdstrike.com/blog/) - [Microsoft - Tamper Protection](https://www.microsoft.com/en-us/security/blog/) - [The DFIR Report - Intrusion Analysis](https://thedfirreport.com/)