# T1562.006 - Indicator Blocking > [!abstract] Resumo Técnico > Adversários bloqueiam a telemetria de ferramentas de segurança antes que ela chegue a destinos de logging centralizados - silenciando o EDR, SIEM ou soluções de monitoramento sem necessáriamente desinstalar o software. Esta é uma subtécnica de [[t1562-impair-defenses|T1562 - Impair Defenses]]. ## Técnica Pai Esta é uma sub-técnica de [[t1562-impair-defenses|T1562 - T1562 - Impair Defenses]]. ## Descrição O bloqueio de indicadores (Indicator Blocking) ocorre quando um adversário interfere ativamente no fluxo de telemetria de segurança - impedindo que eventos, logs e alertas sejam coletados, transmitidos ou armazenados em sistemas de monitoramento. A distinção crítica em relação a outras subtécnicas de [[t1562-impair-defenses|T1562]] é que o software de segurança **permanece em execução**, mas sua visibilidade é cirurgicamente eliminada. O objetivo não é desativar o agente de segurança (o que seria detectável pela ausência de heartbeat), mas sim criar pontos cegos específicos: suprimir eventos de um processo malicioso, impedir que hashes suspeitos sejam enviados ao console central, ou bloquear o fluxo de logs para o SIEM enquanto o restante da telemetria opera normalmente. Esta técnica é especialmente perigosa em ambientes corporativos brasileiros onde a visibilidade centralizada depende de soluções como [[microsoft-sentinel|Microsoft Sentinel]], Splunk ou IBM QRadar - e onde a segmentação de rede pode dificultar a detecção de bloqueios de tráfego lateral. ## Como Funciona O bloqueio de indicadores pode ser implementado por múltiplos vetores: ### 1. ETW (Event Tracing for Windows) O ETW é o backbone de telemetria do Windows, utilizado por EDRs, o próprio Windows Defender e ferramentas como o [[sysmon|Sysmon]]. Adversários podem desabilitar provedores ETW específicos por meio do cmdlet `Set-EtwTraceProvider` via [[t1059-001-powershell|PowerShell]], ou manipulando diretamente as chaves de registro que definem sessões de rastreamento ativas. Uma técnica documentada consiste em redirecionar o log de segurança do Windows para um arquivo `.evtx` diferente, modificando o valor `File` em `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security`. A mudança é imediata, não requer reinicialização, e o Event Viewer continua aparentando funcionar normalmente - mas os eventos passam a ser gravados em um arquivo que ninguém monitora. Outra abordagem é a corrupção em memória do processo do provedor ETW. Pesquisadores documentaram a técnica de sobrescrever bytes de funções ETW em memória (como `EtwEventWrite`) com instruções `RET` para silenciar a coleta em nível de processo sem precisar tocar em registro ou disco. ### 2. Bloqueio de Rede (SIEM/Logging Agents) Adversários com privilégios suficientes podem criar regras de firewall local para bloquear a comunicação entre o agente de forwarding de logs e o servidor SIEM. Ferramentas como o `netsh` (nativo do Windows) permitem criar regras que bloqueiam tráfego de saída para IPs ou portas específicas, isolando o host do pipeline de monitoramento centralizado. Parar serviços de forwarding (como o agente Splunk Universal Forwarder, NXLog, ou Winlogbeat) via `sc stop` ou `net stop` também se enquadra nesta técnica. A diferença para [[t1562-001-disable-or-modify-tools|T1562.001]] é que aqui o foco é no **canal de transmissão**, não no próprio sensor. ### 3. Linux e macOS: syslog e nxlog Em ambientes Linux, adversários podem modificar `/etc/syslog.conf` ou `/etc/rsyslog.conf` para redirecionar logs para `/dev/null` ou para arquivos locais que não são monitorados. Em ambientes de nuvem e contêineres, a supressão do encaminhamento para serviços como CloudWatch ou Datadog pode deixar instâncias inteiras invisíveis ao SOC. ### 4. ESXi / VMware Em infraestruturas de virtualização, o syslog do ESXi pode ser reconfigurado via comandos da CLI como `esxcli system syslog config set` e `esxcli system syslog config reload`. Grupos de ransomware que visam hipervisores (como [[blackcat|ALPHV]] e [[lockbit|LockBit]]) frequentemente executam essa etapa antes de criptografar VMs para impedir alertas de corrupção de disco. ## Attack Flow ```mermaid graph TB A([Adversário com acesso privilegiado]) --> B{Vetor de Bloqueio} B --> C[ETW - Manipulação de Provedores] B --> D[Registro Windows - Redirecionamento de Log] B --> E[Firewall Local - Bloqueio de Rede] B --> F[Serviço de Forwarding - Stop/Disable] B --> G[Syslog - Linux/ESXi] C --> C1["Set-EtwTraceProvider<br/>(PowerShell)"] C --> C2["Patch em memória<br/>(EtwEventWrite → RET)"] D --> D1["HKLM\\...\\EventLog\\Security<br/>valor File alterado"] D --> D2["Novo arquivo .evtx<br/>isolado do monitoramento"] E --> E1["netsh advfirewall<br/>bloqueia IP do SIEM"] E --> E2["Regras de iptables<br/>(Linux)"] F --> F1["net stop WinlogBeat<br/>net stop SplunkForwarder"] G --> G1["rsyslog.conf → /dev/null<br/>esxcli syslog config"] C1 --> H([Ponto Cego Criado]) C2 --> H D2 --> H E2 --> H F1 --> H G1 --> H H --> I[Adversário executa payload<br/>sem geração de alertas] I --> J([Exfiltração / Ransomware / Persistência]) style A fill:#c0392b,color:#fff style H fill:#e67e22,color:#fff style J fill:#8e44ad,color:#fff style I fill:#2c3e50,color:#fff ``` ## Exemplos de Uso ### APT41 (Double Dragon) O [[g0096-apt41|APT41]] - grupo de espionagem e crime financeiro vinculado à China - utiliza o bloqueio de ETW como parte de sua cadeia de intrusão para operações de espionagem de longa duração. O grupo emprega o [[s0579-waterbear|Waterbear]] e o [[s1097-hui-loader|HUI Loader]], ambos documentados suprimindo provedores ETW específicos relacionados a Microsoft-Windows-Threat-Intelligence para ocultar injeção de processo e acesso a LSASS. Esta abordagem cirúrgica permite que o grupo mantenha persistência por meses sem acionar alertas de EDR. ### APT5 (Mandiant UNC2630) O [[g1023-apt5|APT5]], associado a operações de espionagem chinesas contra infraestrutura crítica e setores de telecomúnicações, foi documentado manipulando configurações de logging em dispositivos Pulse Secure e Citrix comprometidos. O grupo usa o [[s1184-boldmove|BOLDMOVE]] como backdoor em plataformas ESXi, reconfigurando o syslog do hypervisor para eliminar evidências forenses antes de movimentação lateral. ### HermeticWiper (invasão da Ucrânia, 2022) O [[s0697-hermeticwiper|HermeticWiper]], malware destrutivo implantado horas antes da invasão russa à Ucrânia, incluía rotinas de bloqueio de ETW para suprimir alertas durante a corrupção do MBR e sobrescrita de setores de disco. O bloqueio era direcionado a provedores de telemetria de antivírus, criando uma jánela de execução limpa durante o processo de destruição. ### Brute Ratel C4 O [[brute-ratel-c4|Brute Ratel C4]], framework de C2 criado por ex-pesquisador de red team como alternativa ao [[s0154-cobalt-strike|Cobalt Strike]], inclui módulos dedicados ao bloqueio de ETW e supressão de telemetria do Windows Defender. O produto foi documentado em uso por grupos de ransomware e APTs com acesso financeiro, sendo particularmente eficaz contra EDRs baseados em ETW. ### StealBit (LockBit) O [[s1200-stealbit|StealBit]], ferramenta de exfiltração customizada do grupo [[lockbit|LockBit]], desativa serviços de forwarding de log antes de iniciar a cópia de dados. O bloqueio de telemetria é executado antes da fase de coleta para evitar que o volume incomum de acessos a arquivos dispare alertas de DLP ou anomalia comportamental. ## Detecção > [!tip] Prioridade de Detecção > Eventos de modificação de registro nas chaves EventLog e de parada de serviços de forwarding têm baixíssimo volume legítimo em ambientes corporativos. **Qualquer hit deve ser tratado como alta prioridade.** ### Regra Sigma - Modificação de Chave EventLog ```yaml title: Modificação Suspeita de Chave de Registro EventLog id: a3b1c2d4-5e6f-7890-abcd-ef1234567890 status: experimental description: > Detecta modificação do valor File na chave EventLog de Segurança, técnica usada para redirecionar logs de auditoria para arquivos isolados. Indicativo de T1562.006 - Indicator Blocking. references: - https://attack.mitre.org/techniques/T1562/006/ author: RunkIntel daté: 2026-03-25 tags: - attack.defense_evasion - attack.t1562.006 logsource: category: registry_set product: windows detection: selection: TargetObject|contains: - '\SYSTEM\CurrentControlSet\Services\EventLog\' TargetObject|endswith: - '\File' filter_legitimate: Image|contains: - 'C:\Windows\System32\wevtutil.exe' condition: selection and not filter_legitimate falsepositives: - Administradores alterando localização de logs por política corporativa (raro) - Ferramentas de backup de logs legítimas level: high ``` ### Regra Sigma - Parada de Serviço de Forwarding de Log ```yaml title: Parada de Serviço de Forwarding de Telemetria id: b4c5d6e7-8f90-1234-bcde-f01234567891 status: experimental description: > Detecta parada de serviços conhecidos de forwarding de telemetria (Splunk UF, NXLog, Winlogbeat, Elastic Agent). Alta relevância para T1562.006. references: - https://attack.mitre.org/techniques/T1562/006/ author: RunkIntel daté: 2026-03-25 tags: - attack.defense_evasion - attack.t1562.006 logsource: category: process_creation product: windows detection: selection_sc: Image|endswith: '\sc.exe' CommandLine|contains: - 'stop' CommandLine|contains: - 'SplunkForwarder' - 'nxlog' - 'winlogbeat' - 'elastic-agent' - 'filebeat' selection_net: Image|endswith: '\net.exe' CommandLine|contains: - 'stop' CommandLine|contains: - 'SplunkForwarder' - 'NXLog' - 'WinlogBeat' condition: selection_sc or selection_net falsepositives: - Atualizações planejadas de agentes de monitoramento (correlacionar com change management) level: high ``` ### Regra Sigma - Abuso de Set-EtwTraceProvider ```yaml title: Uso de Set-EtwTraceProvider para Desabilitar Provedor ETW id: c5d6e7f8-9012-3456-cdef-012345678912 status: experimental description: > Detecta uso do cmdlet Set-EtwTraceProvider via PowerShell para desabilitar provedores ETW, técnica documentada em APT41 e outros grupos avançados. references: - https://attack.mitre.org/techniques/T1562/006/ author: RunkIntel daté: 2026-03-25 tags: - attack.defense_evasion - attack.t1562.006 logsource: category: process_creation product: windows detection: selection: CommandLine|contains|all: - 'Set-EtwTraceProvider' - 'Enabled' - '0' condition: selection falsepositives: - Scripts legítimos de troubleshooting de ETW (muito raro) level: critical ``` ## Mitigação | ID | Mitigação | Descrição Aplicada | |---|-----------|-------------------| | [[m1022-restrict-file-and-directory-permissions\|M1022]] | Restrict File and Directory Permissions | Restringir acesso de escrita às chaves de registro do EventLog e arquivos de configuração do syslog. Somente `SYSTEM` e `Administrators` devem ter permissão de modificação. | | [[m1054-software-configuration\|M1054]] | Software Configuration | Configurar EDRs e SIEMs com alertas de heartbeat - ausência de telemetria por mais de X minutos deve gerar alerta. Habilitar proteção contra adulteração (tamper protection) em soluções EDR. | | [[m1018-user-account-management\|M1018]] | User Account Management | Limitar quais contas podem parar serviços de segurança. Usar GPO para restringir `sc stop` e `net stop` a administradores de domínio com MFA. Monitorar uso de contas privilegiadas fora de jánelas de manutenção. | > [!warning] Tamper Protection > Microsoft Defender for Endpoint e a maioria dos EDRs modernos possuem "Tamper Protection" que impede a parada de seus serviços por meios convencionais. No entanto, adversários com acesso de kernel (via drivers vulneráveis - [[t1068-exploitation-for-privilege-escalation|T1068]]) podem contornar essa proteção. BYOVD (Bring Your Own Vulnerable Driver) é frequentemente combinado com Indicator Blocking. ## Contexto Brasil/LATAM > [!info] Relevância Regional > A técnica T1562.006 tem relevância crescente no contexto brasileiro devido à adoção acelerada de SOCs e SIEMs por grandes corporações - tornando o bloqueio de indicadores uma etapa estratégica antes de ataques de ransomware. No Brasil, grupos de ransomware que operam na região - como afiliados do [[lockbit|LockBit]], [[blackcat|ALPHV]] e [[black-basta|Black Basta]] - frequentemente incluem etapas de supressão de telemetria em seus playbooks de ataque. Incidentes analisados pelo CERT.br e por times de resposta a incidentes no setor financeiro (FEBRABAN) mostram um padrão consistente: **bloqueio de logs precede a execução do ransomware em 60–90 minutos**. Ambientes de empresas de médio porte no Brasil apresentam uma vulnerabilidade específica: o Splunk Universal Forwarder ou Elastic Agent são instalados mas raramente monitorados para falhas de heartbeat. Um adversário que para o serviço de forwarding em um fim de semana pode operar com invisibilidade total até a segunda-feira. Setor de energia e infraestrutura crítica também é alvo - operadores de OT no Brasil frequentemente usam syslog para encaminhar eventos de PLCs e SCADA. Bloqueio desses fluxos em ESXi ou servidores Linux de agregação pode criar pontos cegos operacionais perigosos. **Grupos com presença documentada no Brasil que usam técnicas relacionadas:** - [[g0096-apt41|APT41]] - espionagem em setor de telecomúnicações e governo - [[g1023-apt5|APT5]] - foco em infraestrutura crítica e energia - Afiliados de ransomware-as-a-service operando em PT-BR ## Referências - [MITRE ATT&CK - T1562.006](https://attack.mitre.org/techniques/T1562/006/) - [Microsoft - Event Tracing for Windows](https://docs.microsoft.com/en-us/windows/win32/etw/event-tracing-portal) - [Mandiant - APT41 Double Dragon](https://www.mandiant.com/resources/apt41-dual-espionage-and-cyber-crime-operation) - [CERT.br - Relatório Anual de Incidentes](https://www.cert.br/stats/) - [[g0096-apt41|APT41]] · [[g1023-apt5|APT5]] · [[s0697-hermeticwiper|HermeticWiper]] · [[brute-ratel-c4|Brute Ratel C4]] - [[s0579-waterbear|Waterbear]] · [[s1097-hui-loader|HUI Loader]] · [[s1200-stealbit|StealBit]] · [[s1184-boldmove|BOLDMOVE]] - [[t1059-001-powershell|T1059.001 - PowerShell]] · [[t1562-impair-defenses|T1562 - Impair Defenses]] - [[m1022-restrict-file-and-directory-permissions|M1022]] · [[m1054-software-configuration|M1054]] · [[m1018-user-account-management|M1018]] --- *Fonte: [MITRE ATT&CK - T1562.006](https://attack.mitre.org/techniques/T1562/006)*