# T1562 - Impair Defenses ## Descrição Adversários modificam maliciosamente componentes do ambiente da vítima com o objetivo de dificultar ou desabilitar os mecanismos de defesa. Isso envolve não apenas a supressão de controles preventivos - como firewalls e antivírus -, mas também a degradação das capacidades de detecção e auditoria que defensores usam para identificar comportamento malicioso. A técnica abrange tanto defesas nativas do sistema operacional quanto ferramentas suplementares instaladas por usuários e administradores. Os adversários também podem comprometer operações de manutenção que contribuem para a higiene defensiva: impedir que usuários façam logout, bloquear desligamento do sistema, ou desabilitar e modificar o processo de atualização de software. Em ambientes de nuvem e contêineres, o objetivo frequentemente é desabilitar o envio de logs para SIEMs ou plataformas de monitoramento centralizado. Em dispositivos de rede, pode envolver a desativação de firewalls e sistemas de inspeção de pacotes. O resultado é um ambiente de operação silencioso para o adversário: sem alertas, sem logs, sem atualizações de assinaturas - maximizando o tempo de permanência e a liberdade de movimentação. > **Nota de escopo:** T1562 é uma técnica **pai** com 12 sub-técnicas ativas. Cada sub-técnica representa um vetor específico de comprometimento defensivo. Esta nota documenta o contexto geral; cada sub-técnica possui nota dedicada com detalhes técnicos e detecção específica. ## Sub-técnicas - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - [[t1562-001-disable-tools|T1562.001 - Disable or Modify Tools]] - [[t1562-002-disable-windows-event-logging|T1562.002 - Disable Windows Event Logging]] - [[t1562-003-impair-command-history-logging|T1562.003 - Impair Command History Logging]] - [[t1562-004-disable-or-modify-system-firewall|T1562.004 - Disable or Modify System Firewall]] - [[t1562-006-indicator-blocking|T1562.006 - Indicator Blocking]] - [[t1562-007-disable-or-modify-cloud-firewall|T1562.007 - Disable or Modify Cloud Firewall]] - [[t1562-008-disable-or-modify-cloud-logs|T1562.008 - Disable or Modify Cloud Logs]] - [[t1562-009-safe-mode-boot|T1562.009 - Safe Mode Boot]] - [[t1562-010-downgrade-attack|T1562.010 - Downgrade Attack]] - [[t1562-011-spoof-security-alerting|T1562.011 - Spoof Security Alerting]] - [[t1562-012-disable-or-modify-linux-audit-system|T1562.012 - Disable or Modify Linux Audit System]] - [[t1562-013-disable-or-modify-network-device-firewall|T1562.013 - Disable or Modify Network Device Firewall]] ## Como Funciona A técnica T1562 é caracteristicamente executada **após** o adversário ter obtido algum nível de acesso privilegiado ao ambiente. O objetivo é criar uma "jánela cega" para os defensores - um período em que o atacante pode operar sem ser detectado ou impedido. **Padrão geral de execução:** 1. **Acesso privilegiado obtido**: Via escalonamento de privilégios ([[t1068-exploitation-for-privilege-escalation|T1068]]), credential dumping ([[t1003-os-credential-dumping|T1003]]) ou comprometimento de conta de administrador. 2. **Identificação das defesas ativas**: Enumeração de serviços de segurança em execução (EDR, AV, SIEM agents, auditd, Windows Defender). 3. **Supressão seletiva ou total**: Desabilitar os controles que apresentam maior risco de detecção para a fase seguinte da operação (ex.: desabilitar logging antes de executar ferramentas de credential access). 4. **Execução da operação principal**: Com as defesas comprometidas, executar as ações de objetivo (exfiltração, ransomware, movimentação lateral). 5. **Manutenção do estado**: Garantir que os controles permaneçam desabilitados (via scripts de persistência, chaves de registro, jobs agendados). ## Attack Flow ```mermaid graph TB A[Acesso com Privilégios Elevados] --> B[Enumeração das Defesas Ativas<br/>EDR / AV / Firewall / Logging] B --> C{Alvo das Defesas} C -->|Ferramentas de Segurança| D[T1562.001 - Disable/Modify Tools<br/>Parar serviços de AV, EDR, HIPS] C -->|Auditoria e Logs| E[T1562.002 - Disable Event Logging<br/>T1562.012 - Disable Linux Audit<br/>T1562.008 - Disable Cloud Logs] C -->|Firewall e Rede| F[T1562.004 - Disable System Firewall<br/>T1562.007 - Disable Cloud Firewall<br/>T1562.013 - Network Device Firewall] C -->|Mecanismos de Detecção| G[T1562.006 - Indicator Blocking<br/>T1562.011 - Spoof Security Alerting] C -->|Protocolos e Boot| H[T1562.010 - Downgrade Attack<br/>T1562.009 - Safe Mode Boot<br/>T1562.003 - Impair Command History] D --> I[Ambiente de Operação Silencioso] E --> I F --> I G --> I H --> I I --> J[Execução da Fase Principal do Ataque<br/>Exfiltração / Ransomware / Movimentação Lateral] J --> K[Persistência e Manutenção do Acesso] ``` ## Exemplos de Uso **Grupos de ransomware:** - **[[g1043-blackbyte|BlackByte]]**: usa [[t1562-001-disable-or-modify-tools|T1562.001]] para desabilitar o Windows Defender e outros agentes de EDR antes de implantar o payload de cifragem. O grupo emprega scripts PowerShell que enumeram e terminam processos de segurança conhecidos. - **LockBit 3.0 e BlackCat/ALPHV**: ambos incluem rotinas automáticas de killing de processos de segurança em seus loaders, cobrindo mais de 100 processos de AV/EDR conhecidos. **Grupos de espionagem:** - **[[g0059-magic-hound|Magic Hound]]** (APT35 / Charming Kitten): utiliza scripts de desativação de logging do Windows (T1562.002) e manipulação do auditd em ambientes Linux para prolongar o tempo de permanência sem detecção. Ativo em campanhas contra infraestrutura do Oriente Médio e empresas com operações no Brasil. - **[[s1184-boldmove|BOLDMOVE]]**: malware documentado que desabilita serviços de segurança em dispositivos Fortinet comprometidos como parte de campanhas de espionagem patrocinadas por Estado. **Malware com capacidade de auto-proteção:** - **[[s0603-stuxnet|Stuxnet]]**: incluía rotinas para inibir sistemas de monitoramento industrial (SCADA/ICS) - um exemplo precoce e sofisticado de T1562 em ambiente operacional. - **[[s1206-jumbledpath|JumbledPath]]**: malware que manipula configurações de rede e logging em dispositivos de infraestrutura para apagar rastros de suas operações. ## Detecção A detecção de T1562 requer correlação de eventos - nenhum evento isolado é suficiente. O padrão a buscar é: **mudança de estado de controle de segurança sem correlação com um processo de mudança legítimo (ticket, jánela de manutenção, aprovação)**. ```yaml title: Desativação de Ferramenta de Segurança ou Serviço de Auditoria status: experimental logsource: category: process_creation product: windows detection: selection_sc_stop: Image|endswith: '\sc.exe' CommandLine|contains|all: - 'stop' CommandLine|contains: - 'WinDefend' - 'MsMpSvc' - 'Sense' - 'EventLog' - 'SentinelAgent' - 'CrowdStrike' - 'CylanceSvc' selection_powershell_defender: Image|endswith: '\powershell.exe' CommandLine|contains: - 'Set-MpPreference' - 'DisableRealtimeMonitoring' - 'DisableIOAVProtection' - 'DisableBehaviorMonitoring' - 'Add-MpPreference -ExclusionPath' selection_reg_defender: Image|endswith: '\reg.exe' CommandLine|contains|all: - 'HKLM\SOFTWARE\Policies\Microsoft\Windows Defender' - 'DisableAntiSpyware' condition: selection_sc_stop or selection_powershell_defender or selection_reg_defender level: high tags: - attack.defense_evasion - attack.t1562 - attack.t1562.001 - attack.t1562.002 ``` **Estrategias de detecção por plataforma:** | Plataforma | Fonte de Log | Indicadores-Chave | |------------|-------------|------------------| | Windows | Security Event Log (4719, 4688, 7036) | Parada de serviços de segurança, mudanças em políticas de auditoria | | Linux | auditd, syslog | Modificação de `/etc/audit/audit.rules`, `systemctl stop auditd` | | Cloud (AWS) | CloudTrail | `StopLogging`, `DeleteTrail`, `UpdateTrail` com `IsLogging: false` | | Cloud (Azure) | Azure Monitor Activity Log | `microsoft.insights/diagnosticSettings/delete` | | Cloud (GCP) | Cloud Audit Logs | `SetIamPolicy` removendo roles de logging | | Network Devices | Syslog, SNMP traps | Mudanças em ACLs, desativação de `ip inspect`, logging desabilitado | ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1054 | [[m1054-software-configuration\|M1054 - Software Configuration]] | Configurar ferramentas de segurança para serem resistentes a desativação por usuários não autorizados. Usar proteção por senha em consoles de gerenciamento de AV/EDR e habilitar tamper protection no Microsoft Defender | | M1018 | [[m1018-user-account-management\|M1018 - User Account Management]] | Limitar contas com privilégios para modificar configurações de segurança. Aplicar princípio do menor privilégio - operadores de SOC não devem ter permissão para desabilitar ferramentas de segurança | | M1038 | [[m1038-execution-prevention\|M1038 - Execution Prevention]] | Usar Application Control para bloquear execução de scripts e binários não autorizados que podem ser usados para desabilitar ferramentas de segurança | | M1022 | [[m1022-restrict-file-and-directory-permissions\|M1022 - Restrict File and Directory Permissions]] | Proteger arquivos de configuração de ferramentas de segurança com ACLs restritivas. Configurações do auditd no Linux devem ser somente-leitura para usuários não-root | | M1024 | [[m1024-restrict-registry-permissions\|M1024 - Restrict Registry Permissions]] | Restringir permissões nas chaves de registro que controlam o Windows Defender e outras ferramentas de segurança (HKLM\SOFTWARE\Policies\Microsoft\Windows Defender) | | M1047 | [[m1047-audit\|M1047 - Audit]] | Auditar regularmente o estado das ferramentas de segurança e configurações de logging. Implementar alertas para mudanças não autorizadas em configurações críticas de segurança | | M1042 | [[m1042-disable-or-remove-feature-or-program\|M1042 - Disable or Remove Feature or Program]] | Remover ou desabilitar funcionalidades e utilitários que podem ser abusados para desativar controles de segurança em sistemas onde não são necessários | ## Threat Actors que Usam - [[g1043-blackbyte|BlackByte]] - grupo de ransomware que desabilita sistematicamente ferramentas de EDR e AV antes da cifragem - [[g0059-magic-hound|Magic Hound]] - APT iraniano com histórico de desativação de logging e ferramentas de monitoramento ## Software Associado - [[s1184-boldmove|BOLDMOVE]] - malware que compromete serviços de segurança em dispositivos Fortinet - [[s1206-jumbledpath|JumbledPath]] - malware de infraestrutura que apaga rastros em dispositivos de rede - [[s0603-stuxnet|Stuxnet]] - malware de sabotagem industrial com capacidades avançadas de evasão de defesas ## Contexto Brasil/LATAM T1562 - Impair Defenses é uma das técnicas mais prevalentes em ataques documentados contra organizações brasileiras e latino-americanas, especialmente em operações de ransomware e campanhas de espionagem de longo prazo. **Ransomware no Brasil:** O Brasil consistentemente figura entre os países mais afetados por ransomware na América Latina. Grupos como LockBit, BlackCat/ALPHV, RansomHub e o próprio [[g1043-blackbyte|BlackByte]] têm histórico documentado de ataques a organizações brasileiras nos setores financeiro, saúde, manufatura e governo. Em práticamente todos os casos analisados pelo CERT.br e pela Polícia Federal, a fase de desabilitação de ferramentas de segurança (T1562.001) precedeu o deployment do ransomware. **Campanhas de espionagem regional:** - **[[g0059-magic-hound|Magic Hound]] / APT35**: O grupo iraniano tem operações documentadas na América Latina, com foco em organizações com laços com o Oriente Médio, telecomúnicações e energia. Suas técnicas de impairment de defesas (T1562.002, T1562.003) são consistentemente observadas em suas intrusões. - **Grupos chineses na LATAM**: Campanhas atribuídas a grupos como [[g1017-volt-typhoon|Volt Typhoon]] e APT40 contra infraestrutura crítica sul-americana incluem manipulação de logging e desativação de firewalls em dispositivos de rede. **Aspectos regulatórios brasileiros:** A Lei Geral de Proteção de Dados (LGPD) e as normas da ANPD, combinadas com as resoluções do BACEN para o setor financeiro (BACEN 4.658/2018 e Resolução CMN 4.893/2021), exigem que organizações brasileiras mantenham trilhas de auditoria íntegras. A técnica T1562.008 (desabilitar cloud logs) é especialmente relevante nesse contexto regulatório - sua detecção vai além da segurança técnica e toca em conformidade legal. **Infraestrutura crítica:** O [[t1562-013-disable-or-modify-network-device-firewall|T1562.013]] e variantes de desativação de monitoramento em OT/ICS são preocupações crescentes para o setor elétrico brasileiro (ONS, distribuidoras) e para o setor de petróleo e gás - particularmente após os alertas internacionais sobre comprometimento de equipamentos de rede Cisco e Juniper em campanhas de espionagem estatal. ## Referências - MITRE ATT&CK - T1562 Impair Defenses - CISA Alert AA22-265A: Control System Defense - Know the Opponent - Microsoft Security Blog: "BlackByte ransomware bypasses EDR products" - CERT.br: Boletim de Segurança - Incidentes de Ransomware no Brasil 2024 - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - [[t1562-002-disable-windows-event-logging|T1562.002 - Disable Windows Event Logging]] - [[t1562-008-disable-or-modify-cloud-logs|T1562.008 - Disable or Modify Cloud Logs]] - [[g1043-blackbyte|BlackByte]] - [[g0059-magic-hound|Magic Hound]] - [[s1184-boldmove|BOLDMOVE]] - [[_defense-evasion|Defense Evasion - Visão Geral]] --- *Fonte: MITRE ATT&CK - T1562*