# T1562.011 - Spoof Security Alerting ## Técnica Pai > Sub-técnica de [[t1562-impair-defenses|T1562 - Impair Defenses]] - família de técnicas destinadas a prejudicar, desabilitar ou enganar ferramentas defensivas para permitir a continuidade de atividades maliciosas sem detecção. ## Descrição Adversários podem **falsificar alertas e notificações de ferramentas de segurança**, apresentando evidências fabricadas de que o sistema está saudável e protegido - mesmo após ferramentas legítimas terem sido desabilitadas ou comprometidas. As mensagens produzidas por ferramentas de defesa contêm informações cruciais sobre o estado operacional do sistema e a ocorrência de eventos de segurança. Analistas de SOC e usuários finais dependem dessas notificações para identificar incidentes. Ao **falsificar uma aparência de normalidade**, o adversário: - Suprime ou atrasa a resposta a incidentes por parte de defensores; - Engana usuários e analistas sobre o estado real das proteções do sistema; - Ganha tempo adicional para completar objetivos como exfiltração de dados ou instalação de persistência; - Mascara o impacto de [[t1562-001-disable-tools|Disable or Modify Tools]] e [[t1562-006-indicator-blocking|Indicator Blocking]]. A técnica é especialmente eficaz quando combinada com a desabilitação de ferramentas de segurança: o adversário primeiro silencia o produto de segurança real e, em seguida, substitui sua interface visual por uma versão falsificada que continua reportando um estado "saudável" ao usuário. ### Exemplos de Falsificação - **Windows Security (Defender):** criação de jánela GUI falsa e ícone na bandejá do sistema simulando o Windows Defender ativo com status "Proteção ativada" - **macOS Gatekeeper:** exibição de notificações de sistema falsas afirmando que um arquivo "foi verificado e é seguro" - **Logs de SIEM:** inserção de entradas falsas nos logs de eventos para mascarar atividades suspeitas nos painéis do SOC - **EDR:** exibição de falsos positivos de conformidade em dashboards de gerenciamento para ocultar detecções reais ## Como Funciona O mecanismo central é a **criação de artefatos visuais ou de dados que imitam saídas legítimas de ferramentas de segurança**. Os adversários geralmente seguem esta sequência: 1. **Desabilitação da ferramenta real:** via [[t1562-001-disable-tools|Disable or Modify Tools]] - kill do processo, deleção do serviço, remoção da DLL ou modificação de chave de registro 2. **Análise da interface legítima:** o adversário mapeia como a ferramenta se apresenta ao usuário (jánelas, ícones, mensagens, notificações) 3. **Criação do substituto falso:** desenvolvimento de aplicação lightweight que imita fielmente a aparência e comportamento da ferramenta desabilitada 4. **Execução paralela:** o spoof é executado em background, mantendo a aparência de proteção ativa na bandejá do sistema ou no painel de controle 5. **Persistência do spoof:** o artefato falso é configurado para inicializar junto com o sistema, garantindo continuidade da ilusão ### Falsificação via Manipulação de Registro (Windows) No Windows, o status do Windows Security Center é lido de chaves de registro específicas. Adversários podem modificar entradas como: ``` HKLM\SOFTWARE\Microsoft\Security Center\ AntiVirusDisableNotify = 1 FirewallDisableNotify = 1 UpdatesDisableNotify = 1 ``` Essa modificação suprime as notificações de "proteção desabilitada" que normalmente aparecem no Windows Security Center - sem necessidade de criar uma GUI falsa. ## Attack Flow ```mermaid graph TB A["Acesso Inicial Obtido<br/>(Phishing / Exploit)"] --> B["Escalonamento de Privilégios<br/>(para modificar ferramentas de segurança)"] B --> C["Desabilitação de Ferramentas<br/>T1562.001 - Disable or Modify Tools"] C --> D["Análise da Interface<br/>da Ferramenta Desabilitada"] D --> E["Criação do Artefato Falso<br/>(GUI, ícone, log, notificação)"] E --> F["Execução do Spoof<br/>em Background"] F --> G["Usuário/Analista vê<br/>sistema 'saudável'"] G --> H["Adversário opera<br/>sem detecção visual"] H --> I["Exfiltração / Persistência<br/>/ Movimento Lateral"] style A fill:#2d2d2d,color:#fff style B fill:#8b1a1a,color:#fff style C fill:#8b1a1a,color:#fff style D fill:#8b4513,color:#fff style E fill:#8b4513,color:#fff style F fill:#8b6914,color:#fff style G fill:#1a1a8b,color:#fff style H fill:#1a1a8b,color:#fff style I fill:#1a4a1a,color:#fff ``` ## Exemplos de Uso ### Falsificação do Windows Security Center A técnica foi documentada em amostras de malware que, após desabilitar o Windows Defender via PowerShell ou modificação de registro, instalam uma aplicação de bandejá do sistema (systray) que exibe o ícone do Defender com status "Proteção em tempo real: ativada". A jánela abre normalmente quando clicada, mas todos os recursos estão desativados no backend. ### Manipulação de Logs de SIEM Em ataques sofisticados a ambientes corporativos, adversários com acesso de escrita aos coletores de log (como Syslog ou WEF - Windows Event Forwarding) injetam entradas falsas nos logs de segurança para mascarar atividades. Isso cria "ruído de falso negativo" nos dashboards do SOC, fazendo com que alertas reais sejam suprimidos ou não gerados. ### macOS - Falsificação de Notificações de Gatekeeper Em macOS, adversários com capacidade de injeção de processos podem usar frameworks de notificação do sistema para exibir alertas falsos do tipo "XProtect verificou este arquivo - nenhuma ameaça detectada", mesmo quando o arquivo contém código malicioso que eludiu as verificações. ### Ransomware - Ocultação de Criptografia em Andamento Alguns operadores de ransomware incorporam módulos de spoof de alerta como parte da cadeia de infecção: enquanto os arquivos são criptografados em background, uma jánela falsa do antivírus fica em primeiro plano realizando uma "varredura completa do sistema", impedindo que o usuário perceba a atividade maliciosa até que sejá tarde demais. ## Detecção ### Regra Sigma - GUI Suspeita Imitando Windows Security ```yaml title: Processo Suspeito Imitando Interface do Windows Security id: f4a1b2c3-d5e6-4f7a-8b9c-0d1e2f3a4b5c status: experimental description: > Detecta processos que carregam recursos visuais associados ao Windows Security (ícones, strings) mas não são assinados pela Microsoft ou não residem em caminhos de sistema esperados. Pode indicar falsificação de alertas de segurança. references: - https://attack.mitre.org/techniques/T1562/011/ author: RunkIntel daté: 2026-03-25 logsource: category: process_creation product: windows detection: selection_path: Image|contains: - 'WindowsDefender' - 'SecurityHealth' - 'WinDefend' filter_legitimate: Image|startswith: - 'C:\Program Files\Windows Defender\' - 'C:\Windows\System32\' - 'C:\Windows\SysWOW64\' condition: selection_path and not filter_legitimate falsepositives: - Ferramentas de gerenciamento de segurança de terceiros com nomenclatura similar level: high tags: - attack.defense_evasion - attack.t1562.011 ``` ### Regra Sigma - Modificação de Chaves do Security Center ```yaml title: Modificação Suspeita no Windows Security Center Registry id: a2b3c4d5-e6f7-4a8b-9c0d-1e2f3a4b5c6d status: stable description: > Detecta modificações nas chaves de registro do Windows Security Center que suprimem notificações de ferramentas de segurança desabilitadas. Padrão associado a falsificação de status de proteção. logsource: category: registry_set product: windows detection: selection: TargetObject|contains: '\Microsoft\Security Center\' TargetObject|endswith: - 'AntiVirusDisableNotify' - 'FirewallDisableNotify' - 'UpdatesDisableNotify' - 'AntiVirusOverride' - 'FirewallOverride' Details: 'DWORD (0x00000001)' condition: selection falsepositives: - Scripts de gerenciamento corporativo (verificar com mudança de gestão) level: high tags: - attack.defense_evasion - attack.t1562.011 ``` ### Indicadores Comportamentais | Indicador | Descrição | Ferramenta | |-----------|-----------|------------| | Processo com nome similar a ferramentas de segurança em path incomum | Spoof de GUI | Sysmon Event ID 1 + EDR | | Modificação de chaves `HKLM\SOFTWARE\Microsoft\Security Center` | Supressão de notificações | Sysmon Event ID 13 | | Criação de serviço com nome similar ao Windows Defender | Persistência do spoof | Event ID 4697 | | Carregamento de ícones `.ico` idênticos aos do Windows Security | Falsificação visual | Análise de PE | | Ausência de logs esperados de ferramentas de segurança | Indicador negativo de supressão | SIEM - correlação | ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1038-execution-prevention\|M1038]] | [[m1038-execution-prevention\|Execution Prevention]] | Usar AppLocker ou WDAC para impedir a execução de aplicações não autorizadas que possam imitar ferramentas de segurança. Políticas de allowlist impedem a execução do artefato falso. | ### Controles Complementares Recomendados - **Integridade de processos de segurança:** configurar o EDR para alertar quando processos de segurança conhecidos (ex.: `SecurityHealthService.exe`, `MsMpEng.exe`) são terminados - **Monitoramento de registro:** alertar sobre qualquer modificação em `HKLM\SOFTWARE\Microsoft\Security Center\` por processos que não sejam o próprio Security Center - **Verificação de assinatura digital:** processos que afirmam ser ferramentas de segurança devem ter assinatura digital verificável da Microsoft ou do vendor correspondente - **Baseline de processos:** manter inventário de processos legítimos de segurança com seus hashes e caminhos esperados; desvios disparam alertas - **Tamper Protection:** habilitar o recurso Tamper Protection do Microsoft Defender para impedir modificações não autorizadas via registro ou API ## Contexto Brasil/LATAM A técnica de falsificação de alertas de segurança é particularmente relevante no contexto de **trojans bancários brasileiros**, que frequentemente combinam esta técnica com [[t1562-001-disable-tools|Disable or Modify Tools]] para maximizar o tempo de operação sem detecção. ### Padrão Observado em Malware Bancário Brasileiro Famílias como o [[s0373-astaroth|Astaroth]], Grandoreiro e Ousaban documentaram comportamentos consistentes com T1562.011: - Desabilitação do Windows Defender via comandos PowerShell ou modificação de registro - Supressão das notificações do Windows Security Center via chaves de registro para que o usuário não sejá alertado sobre a proteção desabilitada - Em algumas variantes, exibição de jánelas pop-up falsas imitando verificações de segurança enquanto o malware realiza operações em background ### Engenharia Social Reforçada No Brasil, a técnica é frequentemente combinada com engenharia social: o malware exibe uma falsa "verificação de segurança obrigatória" ou "atualização de certificado digital" - elementos familiares ao usuário brasileiro de internet banking - enquanto coleta credenciais em background. ### Impacto em Ambientes Corporativos Para analistas de SOC em empresas brasileiras, a ausência de logs esperados de ferramentas de segurança é tão importante quanto a presença de alertas. **Um endpoint que parou de gerar eventos de segurança** pode ser sinal de supressão ativa - investigar imediatamente. ## Referências - [[t1562-impair-defenses|T1562 - Impair Defenses]] (técnica pai) - [[t1562-001-disable-tools|T1562.001 - Disable or Modify Tools]] (pré-requisito frequente) - [[t1562-006-indicator-blocking|T1562.006 - Indicator Blocking]] (técnica complementar) - [[s0373-astaroth|Astaroth]] (malware bancário brasileiro com comportamento similar) - [[m1038-execution-prevention|M1038 - Execution Prevention]] - [[t1566-phishing|T1566 - Phishing]] (vetor de entrega do malware que usa esta técnica) - [[t1204-user-execution|T1204 - User Execution]] (requerido para ativação do artefato falso) *Fonte: MITRE ATT&CK - T1562.011*