# T1562.009 - Safe Mode Boot ## Descrição **T1562.009 - Safe Mode Boot** é uma sub-técnica de [[t1562-impair-defenses|T1562 - Impair Defenses]] em que adversários forçam o reinício do sistema operacional Windows no **Modo de Segurança** (Safe Mode) para desativar ferramentas de segurança de terceiros que não carregam nesse modo de operação - especialmente agentes de EDR (Endpoint Detection and Response). O Safe Mode do Windows foi projetado para diagnóstico e recuperação do sistema: ao inicializar neste modo, o Windows carrega apenas um conjunto mínimo de drivers e serviços definidos pela Microsoft. Serviços de terceiros - incluindo agentes de EDR, antivírus de próxima geração e ferramentas de monitoramento - geralmente **não são inicializados** no Safe Mode, pois seus drivers e serviços não fazem parte da lista de "serviços mínimos essenciais" do Windows. Adversários exploram essa característica para criar uma jánela de operação sem monitoramento ativo. O fluxo típico é: 1. Obter privilégios elevados no sistema comprometido 2. Configurar o Safe Mode como modo de boot padrão para o próximo reinício (via modificação do BCD - Boot Configuration Data) 3. Opcionalmente, registrar o malware para execução automática no Safe Mode 4. Forçar ou aguardar o reinício do sistema 5. Executar as ações destrutivas (criptografia de arquivos, exfiltração de dados) sem interferência do EDR Esta técnica é especialmente associada a operações de **ransomware**, onde a jánela de criptografia sem EDR é crítica para o sucesso da operação. Grupos como [[s0496-revil|REvil]], [[black-basta|Black Basta]], [[s1202-lockbit-30|LockBit 3.0]], [[s1212-ransomhub|RansomHub]], [[s1247-embargo|Embargo]], [[qilin|Qilin]] e [[s1053-avoslocker|AvosLocker]] foram documentados usando Safe Mode Boot como técnica pré-criptografia. > **Técnica pai:** [[t1562-impair-defenses|T1562 - Impair Defenses]] --- ## Como Funciona ### 1. Modificação do Boot Configuration Data (BCD) O Windows armazena configurações de boot no BCD - um banco de dados estruturado análogo ao `boot.ini` de versões antigas. O utilitário nativo `bcdedit.exe` permite modificar essas configurações com privilégios de administrador: ``` bcdedit /set {default} safeboot minimal ``` Este comando instrui o Windows a inicializar em Safe Mode (Minimal) no próximo boot. O adversário pode também usar: ``` bcdedit /set {default} safeboot network ``` Para Safe Mode with Networking - necessário se o ransomware precisar se comúnicar com o servidor C2 durante a criptografia. ### 2. Registro do malware para execução no Safe Mode Por padrão, apenas serviços com a chave `SafeBoot` no registro são carregados no Safe Mode. Adversários modificam o registro para adicionar seu malware à lista de serviços que iniciam no Safe Mode: ``` HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\<MalwareService> HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\<MalwareService> ``` Esta modificação de registro é uma instância de [[t1112-modify-registry|Modify Registry]] e garante que o ransomware execute automaticamente após o reinício no Safe Mode, sem necessidade de interação do operador. ### 3. Abuso de COM Objects em Safe Mode Adversários também podem registrar [[t1559-001-component-object-model|Component Object Model]] (COM) objects maliciosos que são carregados durante o boot no Safe Mode. Este método é mais furtivo pois não cria entradas de serviço óbvias e pode se disfarçar como componente legítimo do sistema. ### 4. Forçar reinício Após configurar o BCD e registrar o malware, o adversário força o reinício: ``` shutdown /r /t 0 ``` Em alguns cenários de ransomware, o sistema é reiniciado somente após a exfiltração de dados (dupla extorsão), com o Safe Mode Boot sendo preparado como estágio final antes da criptografia em massa. --- ## Attack Flow ```mermaid graph TB A([Adversário com privilégios<br/>de Administrador]) --> B[Configurar BCD para Safe Mode<br/>bcdedit /set safeboot minimal] B --> C[Registrar malware no registry<br/>SafeBoot\\Minimal\\MalwareService] C --> D{Método de persistência\nno Safe Mode} D --> E[Registro de serviço<br/>SafeBoot\\Minimal] D --> F[COM Object malicioso<br/>registrado para Safe Mode] D --> G[Chave Run no registro<br/>Ativa mesmo em Safe Mode] E --> H[Forçar reinício do sistema<br/>shutdown /r /t 0] F --> H G --> H H --> I[Sistema inicializa em Safe Mode] I --> J{EDR e AV de terceiros\nNÃO carregam} J --> K[Jánela sem monitoramento ativo] K --> L{Operações sem EDR} L --> M[Criptografia de arquivos<br/>Ransomware] L --> N[Exfiltração de dados<br/>Dupla extorsão] L --> O[Destruição de backups<br/>VSS Delete] M --> P([Ransom note entregue<br/>Sistema indisponível]) N --> P O --> P style A fill:#c0392b,color:#fff style J fill:#e67e22,color:#fff style K fill:#8e44ad,color:#fff style P fill:#2c3e50,color:#fff ``` --- ## Exemplos de Uso ### REvil (Sodinokibi) O [[s0496-revil|REvil]] foi um dos primeiros grupos de ransomware a documentar amplamente o uso de Safe Mode Boot. Em ataques contra grandes organizações, o grupo usava `bcdedit.exe` para configurar o Safe Mode, registrava o encryptador como serviço com `sc.exe`, e forçava o reinício. A técnica foi identificada pela Secureworks e Sophos em múltiplos incidentes em 2020-2021, incluindo o famoso ataque à Kaseya VSA. ### Black Basta O [[black-basta|Black Basta]] adotou Safe Mode Boot como técnica padrão desde sua emergência em 2022. O grupo opera em Safe Mode with Networking para manter comúnicação C2 durante a criptografia. Investigações da Trend Micro e Cybereason documentaram o padrão: após comprometer o domínio via [[t1078-valid-accounts|Valid Accounts]], o grupo usa ferramentas de gerenciamento remoto para executar o `bcdedit` em múltiplas máquinas simultaneamente antes do reinício em massa. ### LockBit 3.0 O [[s1202-lockbit-30|LockBit 3.0]] implementou Safe Mode Boot como feature opcional do encryptador, ativável via parâmetro de linha de comando. Afiliados do LockBit documentaram o uso desta técnica em operações contra setores de saúde e manufatura, onde EDRs modernos bloqueavam versões anteriores do encryptador. A técnica foi central no ataque ao PCAM (Postal Corporation of America) e em operações contra hospitais brasileiros documentadas em 2023. ### AvosLocker O [[s1053-avoslocker|AvosLocker]] foi documentado pela Trend Micro e pelo FBI usando Safe Mode with Networking, com registro do payload como serviço `AvosLocker` nas chaves de SafeBoot do registro. O grupo também usava AnyDesk para manter acesso remoto durante o Safe Mode, pois o AnyDesk pode ser configurado para iniciar no Safe Mode with Networking. ### RansomHub e Qilin Grupos mais recentes como [[s1212-ransomhub|RansomHub]] e [[qilin|Qilin]] herdaram e refinaram a técnica. O [[s1212-ransomhub|RansomHub]] foi documentado pela CISA em 2024 usando Safe Mode Boot em ataques contra infraestrutura crítica nos EUA e LATAM, incluindo operações contra empresas de utilidades no Brasil. --- ## Detecção ### Indicadores de comportamento - Execução de `bcdedit.exe` com argumentos `/set safeboot` por processo não-sistema - Modificação das chaves de registro `HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\` ou `SafeBoot\Network\` por processo suspeito - Adição de entradas incomuns sob as chaves SafeBoot (serviços de terceiros não reconhecidos) - Chamada de `shutdown.exe` com `/r` logo após modificações do BCD ou registro SafeBoot - Tentativa de desativar serviços de segurança (`sc.exe config <EDR_service> start= disabled`) ### Regra Sigma ```yaml title: Safe Mode Boot Configuration via bcdedit (T1562.009) id: 9f3b2e7a-c841-4d53-b6e7-1a4c9d2f8e05 status: stable description: > Detecta uso de bcdedit.exe para configurar o sistema para inicializar em Safe Mode, técnica usada por ransomware para desativar EDR (T1562.009). references: - https://attack.mitre.org/techniques/T1562/009/ - https://www.cisa.gov/ransomware-guide author: RunkIntel daté: 2026-03-25 tags: - attack.defense_evasion - attack.t1562.009 - attack.impact logsource: category: process_creation product: windows detection: selection_bcdedit: Image|endswith: '\bcdedit.exe' CommandLine|contains: - 'safeboot' condition: selection_bcdedit falsepositives: - Administradores de sistema configurando Safe Mode para troubleshooting legítimo - Scripts de manutenção de TI (raro em automação) level: high --- title: SafeBoot Registry Modification (T1562.009) id: 2d7a4f9c-b531-4e82-a7d5-9c1b6e3f0a78 status: experimental description: > Detecta modificação das chaves de registro SafeBoot para adicionar serviços de terceiros - padrão usado por ransomware para persistir no Safe Mode. author: RunkIntel daté: 2026-03-25 tags: - attack.defense_evasion - attack.t1562.009 - attack.t1112 logsource: category: registry_set product: windows detection: selection: TargetObject|contains: - '\Control\SafeBoot\Minimal\' - '\Control\SafeBoot\Network\' filter_windows: TargetObject|contains: - '\AlternateShell' - '\network' - '\{4D36E' condition: selection and not filter_windows falsepositives: - Softwares de backup/recuperação que se registram no SafeBoot - Drivers de hardware legítimos level: high ``` ### Fontes de dados recomendadas | Fonte | Evento | Descrição | |-------|--------|-----------| | Sysmon (Event ID 1) | ProcessCreaté | Detecta execução de `bcdedit.exe` com `/set safeboot` | | Sysmon (Event ID 13) | RegistryValueSet | Modificação de chaves `SafeBoot\Minimal` ou `SafeBoot\Network` | | Windows Security Log (4688) | Process Creation | Criação de processo `bcdedit.exe` (requer política de auditoria) | | Windows Security Log (4657) | Registry Modification | Modificação de chaves de registro (requer auditoria de objeto) | | EDR Registry Telemetry | - | Modificações em tempo real no registro de SafeBoot | --- ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1026 | [[m1026-privileged-account-management\|M1026 - Privileged Account Management]] | Restringir o uso de `bcdedit.exe` apenas a administradores altamente privilegiados. Implementar Privileged Access Workstations (PAW) para operações de boot | | M1054 | [[m1054-software-configuration\|M1054 - Software Configuration]] | Configurar soluções de EDR para persistir no Safe Mode sempre que possível. Alguns EDRs modernos (ex: CrowdStrike Falcon, Microsoft Defender for Endpoint) suportam carregamento no Safe Mode com configuração específica | | - | Monitoramento de BCD | Implementar alertas para qualquer modificação do BCD via `bcdedit.exe` em ambientes produtivos - especialmente com argumentos `safeboot` | | - | Restrição de bcdedit via AppLocker | Bloquear execução de `bcdedit.exe` por usuários não-SYSTEM via AppLocker ou WDAC em ambientes onde modificação de boot não é operação regular | | - | Backup de BCD | Manter backup do BCD e verificar integridade periodicamente para detectar modificações não autorizadas | | - | Detecção de shutdown suspeito | Alertar para execução de `shutdown.exe /r` por processos que também modificaram o registro ou BCD nas últimas horas | --- ## Contexto Brasil/LATAM O abuso de Safe Mode Boot é especialmente prevalente em operações de ransomware contra organizações brasileiras e latino-americanas, por razões estruturais específicas ao mercado regional: **1. EDR com cobertura parcial** Grande parte das organizações brasileiras de médio porte opera com antivírus tradicional (Symantec, McAfee, ESET) em vez de EDR de próxima geração. Esses produtos são **completamente desativados** no Safe Mode - ao contrário de EDRs modernos que implementam drivers de kernel com suporte a Safe Mode. Isso significa que o Safe Mode Boot garante criptografia sem qualquer monitoramento ativo na maioria dos alvos regionais. **2. Alta incidência de ransomware no setor de saúde** O Brasil registrou ataques de ransomware contra hospitais e planos de saúde em 2023-2024 atribuídos a afiliados do [[s1202-lockbit-30|LockBit 3.0]] e [[s1212-ransomhub|RansomHub]], com uso confirmado de Safe Mode Boot. A Agência Nacional de Saúde Suplementar (ANS) e o Ministério da Saúde emitiram alertas específicos sobre a técnica. **3. RansomHub e infraestrutura crítica brasileira** O [[s1212-ransomhub|RansomHub]] realizou operações documentadas contra empresas do setor de energia e telecomúnicações no Brasil em 2024. A CISA, em conjunto com o CERT.br, publicou advisory específico sobre a cadeia de ataque do grupo, que incluía Safe Mode Boot como etapa padrão pré-criptografia. **4. Campanhas do Embargo e Qilin** Os grupos [[s1247-embargo|Embargo]] e [[qilin|Qilin]] foram identificados em operações contra o setor financeiro brasileiro em 2024-2025. Ambos os grupos usam Safe Mode with Networking para manter comúnicação C2 durante a criptografia, aproveitando que soluções de proxy e DLP também não carregam no Safe Mode. **Recomendação específica para o contexto LATAM:** Organizações que operam com antivírus tradicional (sem EDR) devem priorizar: 1. Monitoramento de `bcdedit.exe` via SIEM 2. Restrição de modificação do BCD via GPO 3. Implementação de EDR com suporte a Safe Mode (CrowdStrike, SentinelOne, Microsoft Defender) --- ## Referências - [MITRE ATT&CK - T1562.009](https://attack.mitre.org/techniques/T1562/009/) - [CISA - RansomHub Ransomware Advisory (2024)](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-242a) - [Sophos - REvil Safe Mode Analysis](https://news.sophos.com/en-us/2021/07/04/independence-day-revil-uses-supply-chain-exploit-to-attack-hundreds-of-businesses/) - [Trend Micro - Black Basta Ransomware Analysis](https://www.trendmicro.com/en_us/research/22/j/black-basta-infiltrates-networks-via-qakbot-brute-ratel-and-coba.html) - [[t1562-impair-defenses|T1562 - Impair Defenses]] - técnica pai - [[t1112-modify-registry|T1112 - Modify Registry]] - técnica combinada para registro no SafeBoot - [[t1559-001-component-object-model|T1559.001 - Component Object Model]] - técnica combinada para persistência via COM - [[t1078-valid-accounts|T1078 - Valid Accounts]] - técnica de acesso inicial frequentemente combinada - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - objetivo final após Safe Mode Boot - [[s0496-revil|REvil]] - ransomware com uso documentado desta técnica - [[black-basta|Black Basta]] - ransomware com uso documentado desta técnica - [[s1202-lockbit-30|LockBit 3.0]] - ransomware com uso documentado desta técnica - [[s1212-ransomhub|RansomHub]] - ransomware ativo no Brasil usando esta técnica - [[s1053-avoslocker|AvosLocker]] - ransomware com uso documentado desta técnica - [[s1247-embargo|Embargo]] - ransomware ativo no LATAM - [[qilin|Qilin]] - ransomware ativo no LATAM - [[m1026-privileged-account-management|M1026 - Privileged Account Management]] - mitigação recomendada - [[m1054-software-configuration|M1054 - Software Configuration]] - mitigação recomendada