t1562-002-disable-windows-event-logging

# T1562.002 - Disable Windows Event Logging ## Técnica Pai [[t1562-impair-defenses|T1562 - Impair Defenses]] ## Descrição Adversários podem **desabilitar o sistema de logging de eventos do Windows** para reduzir a quantidade de evidências disponíveis para detecção e análise forense. Os Event Logs do Windows registram uma ampla variedade de atividades do sistema e do usuário - tentativas de autenticação, criação de processos, modificações de registro, acesso a arquivos, mudanças de política de auditoria e muito mais. Essas informações são consumidas por SIEMs, EDRs e analistas de SOC para geração de alertas e investigações de incidentes. O serviço **Windows EventLog** (`eventlog`) é responsável por manter e escrever os logs de todos os componentes do sistema e aplicativos. Por padrão, ele inicia automaticamente com o sistema e opera em segundo plano de forma transparente. A **Política de Auditoria** - gerenciada via `secpol.msc` ou `auditpol.exe` - define quais categorias de eventos são registradas: logon/logoff, criação de objetos, acesso a credenciais, modificações de política, entre outros. Ao desabilitar ou manipular esse serviço, o adversário consegue operar no sistema comprometido deixando muito menos evidências - tornando a detecção em tempo real e a análise forense post-mortem significativamente mais difíceis. Atores como [[g0027-threat-group-3390|Threat Group-3390]] (APT27) e [[g0059-magic-hound|Magic Hound]] (APT35/Charming Kitten) utilizam essa técnica como parte de operações de espionagem prolongadas, onde a persistência furtiva por longos períodos é essencial. ## Como Funciona Existem múltiplos vetores para desabilitar ou manipular o Event Logging do Windows, com diferentes requisitos de privilégio: ### 1. Parada e desabilitação do serviço EventLog via PowerShell / sc.exe Com privilégios administrativos, o adversário pode desabilitar o serviço EventLog diretamente: ``` # Via PowerShell Set-Service -Name EventLog -Status Stopped -StartupType Disabled Stop-Service -Name EventLog -Force # Via sc.exe sc config eventlog start=disabled sc stop eventlog ``` ### 2. Modificação de chave de registro - sem reinicialização imediata O adversário modifica o valor `Start` na chave de registro do serviço EventLog para `4` (Desabilitado). A mudança entra em efeito após reinicialização: - **Security EventLog** (sem privilégio de Admin): `HKLM\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-Security` → `Start = 0` - **System EventLog** (requer Admin): `HKLM\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-System` → `Start = 0` - **Application EventLog** (requer Admin): `HKLM\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-Application` → `Start = 0` - **Serviço principal** (requer Admin): `HKLM\SYSTEM\CurrentControlSet\Services\EventLog` → `Start = 4` ### 3. Manipulação via auditpol.exe O utilitário `auditpol.exe` permite desabilitar categorias específicas de auditoria sem parar o serviço completamente - uma abordagem mais cirúrgica e menos detectável: ``` # Desabilitar auditoria de logon de conta auditpol /set /category:"Account Logon" /success:disable /failure:disable # Desabilitar auditoria de criação de processo auditpol /set /subcategory:"Process Creation" /success:disable /failure:disable # Limpar toda a política de auditoria auditpol /clear /y # Remover auditoria para todos os usuários auditpol /remove /allusers ``` ### 4. Manipulação de ETW (Event Tracing for Windows) Uma técnica mais avançada consiste em corromper ou manipular sessões ETW (Event Tracing for Windows), o mecanismo subjacente ao sistema de logging. Isso pode ser feito via patch de memória no processo `svchost.exe` que hospeda o EventLog, corrompendo ponteiros de função para que eventos sejam descartados antes de serem escritos no log. Essa abordagem não deixa rastros no registro e é invisível para análise de serviços. ### 5. Inibição via wevtutil.exe O utilitário `wevtutil.exe` permite manipular os logs diretamente: ``` # Desabilitar um canal de log específico wevtutil sl Security /enabled:false # Limpar um log específico wevtutil cl Security # Reduzir o tamanho máximo do log para forçar sobrescrita wevtutil sl Security /ms:1024 ``` ### Indicadores adicionais - **Gaps no timestamp de logs**: ausência de eventos em jánelas de tempo onde atividade era esperada indica possível desabilitação ou limpeza retroativa. - **Monitoramento de estado do serviço**: verificar via WMI ou PowerShell remoto se `eventlog` está em estado `Running` em todos os endpoints gerenciados. - **Integridade de política de auditoria**: comparar a política de auditoria atual (`auditpol /get /category:*`) com a baseline definida via GPO. - **Centralização de logs**: implementar log forwarding em tempo real (Windows Event Forwarding ou agente SIEM) garante que eventos sejam preservados no SIEM mesmo que sejam posteriormente deletados no endpoint. ## Attack Flow ```mermaid graph TB A[Acesso Privilegiado ao Sistema] --> B{Método de Desabilitação} B --> C[Parada do serviço EventLog via sc / PowerShell] B --> D[Modificação de registro - chaves de Autologger] B --> E[auditpol - desabilitar categorias seletivamente] B --> F[ETW patch em memória - técnica avançada] B --> G[wevtutil - desabilitar / limpar canais] C --> H[Serviço parado - nenhum log gerado] D --> I[Log desabilitado após reboot] E --> J[Categorias críticas silenciadas - logon, processo, rede] F --> K[ETW corrompido - sem rastro no registro] G --> L[Canais limpos e/ou desabilitados] H --> M[Operações sem evidência em logs de sistema] I --> M J --> M K --> M L --> M M --> N[Persistência, movimento lateral e exfiltração sem detecção em SIEM] ``` ## Exemplos de Uso ### Threat Group-3390 (APT27) - Silenciamento seletivo de auditoria O [[g0027-threat-group-3390|Threat Group-3390]], grupo de espionagem chinês, utiliza `auditpol.exe` para desabilitar específicamente a auditoria de criação de processo e logon de conta antes de executar ferramentas de movimento lateral como Mimikatz e PsExec. Ao desabilitar apenas as categorias relevantes - em vez de parar o serviço completamente -, o grupo reduz a probabilidade de que a própria ação de desabilitação gere alertas em SIEMs configurados para detectar parada do EventLog. ### Magic Hound (APT35 / Charming Kitten) - Limpeza de logs pós-operação O [[g0059-magic-hound|Magic Hound]] emprega uma abordagem de "cobertura de rastros": após completar uma fase de operação (exfiltração, instalação de backdoor), executa `wevtutil cl` para limpar os canais Security, System e Application, eliminando evidências das atividades realizadas. Essa prática de higiene operacional dificulta reconstrução forense de linha do tempo. ### Limpeza de logs em campanhas de ransomware Grupos de ransomware que operam no Brasil - incluindo afiliados de operações como [[lockbit|LockBit]] e [[blackcat|ALPHV]] - frequentemente incluem limpeza de logs como parte do playbook de pré-criptografia. O objetivo é impedir que a investigação de IR identifique o vetor inicial de comprometimento, dificultando a resposta e aumentando a pressão sobre a vítima. ### Manipulação de ETW por rootkits Famílias de rootkit sofisticados, como o [[s0022-uroburos|Uroburos]] (Turla), implementam patches de memória em ETW para que eventos relacionados às suas atividades sejam descartados no nível do kernel, antes mesmo de chegarem ao serviço EventLog. Essa técnica é extremamente difícil de detectar, pois o serviço EventLog aparece como em funcionamento normal - mas não registra os eventos manipulados. ## Detecção A detecção desta técnica exige monitoramento em múltiplas camadas. Uma das ironias operacionais é que os próprios logs que precisamos monitorar são o alvo do ataque - por isso a estratégia de defesa deve incluir log forwarding em tempo real para um SIEM ou log aggregator externo antes que a desabilitação ocorra. ### Sigma Rule - Parada do serviço EventLog ```yaml title: Serviço Windows EventLog Parado ou Desabilitado status: stable logsource: category: process_creation product: windows detection: selection_sc: Image|endswith: '\sc.exe' CommandLine|contains|all: - 'eventlog' - 'stop' selection_sc_disable: Image|endswith: '\sc.exe' CommandLine|contains|all: - 'eventlog' - 'disabled' selection_powershell: Image|endswith: '\powershell.exe' CommandLine|contains|all: - 'EventLog' - 'Stopped' condition: 1 of selection_* falsepositives: - Manutenção legítima de sistema por administradores documentados level: critical tags: - attack.defense_evasion - attack.t1562.002 ``` ### Sigma Rule - auditpol desabilitando categorias críticas ```yaml title: Política de Auditoria Desabilitada via auditpol status: stable logsource: category: process_creation product: windows detection: selection: Image|endswith: '\auditpol.exe' CommandLine|contains: - '/success:disable' - '/failure:disable' - '/clear' - '/remove' condition: selection falsepositives: - Administradores ajustando política de auditoria em jánelas de manutenção level: high tags: - attack.defense_evasion - attack.t1562.002 ``` ### Sigma Rule - wevtutil limpando ou desabilitando canais ```yaml title: Limpeza ou Desabilitação de Canal de Log via wevtutil status: stable logsource: category: process_creation product: windows detection: selection_clear: Image|endswith: '\wevtutil.exe' CommandLine|contains: - ' cl ' - ' clear-log ' - ' sl ' - 'enabled:false' selection_channels: CommandLine|contains: - 'Security' - 'System' - 'Application' condition: selection_clear and selection_channels falsepositives: - Scripts de manutenção de logs em jánelas planejadas level: high tags: - attack.defense_evasion - attack.t1562.002 ``` ### Event IDs críticos para monitoramento | Event ID | Canal | Significado | |----------|-------|-------------| | 1100 | Security | Serviço EventLog encerrado | | 1101 | Security | Eventos de auditoria descartados (buffer cheio) | | 1102 | Security | Log de auditoria limpo (ação administrativa) | | 4719 | Security | Política de auditoria do sistema alterada | | 4906 | Security | Valor de CrashOnAuditFail alterado | | 7036 | System | Serviço alterou estado (parado/iniciado) | | 7040 | System | Tipo de inicialização de serviço alterado | > **Regra de ouro para SOC**: o Event ID **1102** (log limpo) deve sempre gerar alerta de alta prioridade. Não existe uso legítimo cotidiano de limpeza de Security Log fora de procedimentos documentados de manutenção. ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1022 | [[m1022-restrict-file-and-directory-permissions\|M1022 - Restrict File and Directory Permissions]] | Restringir permissões sobre os arquivos de log em `%SystemRoot%\System32\winevt\Logs\` para impedir que processos não privilegiados truncuem ou modifiquem arquivos de log diretamente | | M1024 | [[m1024-restrict-registry-permissions\|M1024 - Restrict Registry Permissions]] | Restringir acesso de escrita às chaves de registro do serviço EventLog e das sessões ETW Autologger, impedindo modificações não autorizadas às configurações de logging | | M1047 | [[m1047-audit\|M1047 - Audit]] | Auditar regularmente a política de auditoria vigente comparando com a baseline esperada; verificar que todos os canais críticos (Security, System, Application) estão habilitados e com tamanho adequado | | M1018 | [[m1018-user-account-management\|M1018 - User Account Management]] | Limitar o número de contas com privilégios administrativos locais; implementar Just-In-Time (JIT) access para operações administrativas que possam interagir com o serviço EventLog | ### Medidas complementares - **Windows Event Forwarding (WEF)**: configurar forwarding em tempo real para um servidor de coleta centralizado, garantindo que eventos sejam preservados mesmo que o log local sejá limpo. - **Protected Event Logging**: habilitar o recurso de Event Log protegido do Windows, que criptografa o conteúdo de eventos sensíveis para impedir leitura não autorizada. - **Sysmon**: complementar o EventLog nativo com o Sysinternals Sysmon, que opera em nível de kernel e é mais resiliente a manipulações em modo usuário. - **CrashOnAuditFail**: em ambientes de alta segurança, configurar o sistema para reinicializar ou entrar em modo seguro se o EventLog não conseguir gravar eventos - `HKLM\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail = 1`. ## Contexto Brasil/LATAM A desabilitação de logs de eventos é uma técnica amplamente utilizada por grupos que atuam no Brasil e na América Latina, por razões práticas e táticas: **Ransomware e cobertura de rastros**: Incidentes de ransomware no Brasil - que afetam recorrentemente setores como saúde, varejo, governo estadual e municipal, e manufatura - frequentemente incluem etapa de limpeza de logs pré-criptografia. A análise de incidentes respondidos por equipes brasileiras (CTIR.gov, CERTs estaduais, fornecedores de MDR) documenta o uso de `wevtutil cl` e `auditpol /clear` como padrão operacional de grupos afiliados a [[lockbit|LockBit]], [[blackcat|BlackCat]] e [[s1212-ransomhub|RansomHub]]. **APT27 / Threat Group-3390 no Brasil**: O [[g0027-threat-group-3390|Threat Group-3390]] tem histórico documentado de operações contra alvos governamentais e de defesa na América Latina. A técnica de desabilitação seletiva de auditoria via `auditpol` é consistente com o modus operandi observado nessas campanhas, onde o objetivo é manter acesso prolongado (meses a anos) sem ser detectado. **Magic Hound e o Oriente Médio/LATAM**: O [[g0059-magic-hound|Magic Hound]] (APT35, associado ao IRGC iraniano) tem expandido operações para além do Oriente Médio, com alvos documentados na América do Sul relacionados a infraestrutura de energia e telecomúnicações. A limpeza de logs pós-operação é uma prática consistente do grupo. **Desafios de detecção no Brasil**: Muitas organizações brasileiras ainda operam sem SIEM centralizado ou com coberturas parciais de log forwarding. Essa lacuna torna a desabilitação de Event Logging uma técnica de alto impacto - sem centralização, a limpeza do log local elimina toda a evidência disponível para investigação. **Regulatório**: A LGPD (Lei Geral de Proteção de Dados) e normas do Banco Central (Resolução CMN 4.658 e Circular BCB 3.909) exigem rastreabilidade de eventos de segurança. Organizações que não monitoram adequadamente a integridade de seus logs de auditoria estão expostas tanto a riscos operacionais quanto a riscos de conformidade regulatória. ## Referências - MITRE ATT&CK - T1562.002 (versão 16.2) - Microsoft Docs - Windows Event Log Service e auditpol reference - NSA/CISA - Cybersecurity Advisory sobre desabilitação de logging em ataques patrocinados por estado - CTIR.gov - Relatórios de incidentes de ransomware no Brasil (2023-2025) - Splunk Threat Research - Detecção de manipulação de Event Log via Sigma - Sysinternals Sysmon - Guia de implantação e resiliência contra manipulação de logs *Fonte: MITRE ATT&CK - T1562.002*