# T1679 - Selective Exclusion > [!danger] Técnica Amplamente Observada em Ransomware > Selective Exclusion é uma das técnicas mais utilizadas por operadores de ransomware modernos. Ao excluir seletivamente arquivos críticos do sistema, o malware garante que a vítima ainda consiga ver a nota de resgate, operar o computador parcialmente e realizar o pagamento - maximizando as chances de extorsão bem-sucedida. ## Descrição **Selective Exclusion** (T1679) é uma técnica de [[_defense-evasion|evasão de defesa]] na qual adversários configuram seu código malicioso para ignorar intencionalmente certos arquivos, pastas, extensões, processos ou componentes do sistema durante a execução de uma carga maliciosa - sejá cifragem de ransomware, destruição de dados, ou implantação de malware. A lógica de exclusão seletiva serve a múltiplos propósitos simultâneos: 1. **Manutenção de operabilidade do sistema**: Excluir arquivos essenciais (`.dll`, `.exe`, `.sys`, `ntoskrnl.exe`, `explorer.exe`) evita que o sistema trave ou reinicie imediatamente, garantindo que a nota de resgate sejá exibida e que a vítima possa pagar 2. **Evasão de detecção**: Arquivos monitorados por EDR, SIEM ou antivírus são frequentemente excluídos para evitar que a atividade maliciosa dispare alertas - o adversário estuda o ambiente e configura exclusões específicas para as ferramentas presentes 3. **Velocidade de execução**: Ignorar arquivos de sistema volumosos acelera o processo de cifragem, reduzindo a jánela de detecção 4. **Evitar instabilidade**: A corrupção acidental de registros de boot, drivers críticos ou configurações de rede poderia expor o ataque ou impedir comunicação C2 Esta técnica é documentada em famílias como [[s1244-medusa-ransomware|Medusa Ransomware]], [[s1245-invisibleferret|InvisibleFerret]] e [[s1247-embargo|Embargo]], e é quase universalmente implementada em operações de ransomware modernas como parte do design do payload. --- ## Como Funciona ### Tipos de Exclusões Comuns | Categoria | Exemplos | Motivação | |-----------|----------|-----------| | **Extensões** | `.dll`, `.exe`, `.sys`, `.lnk`, `.bat`, `.msi` | Manter sistema operacional funcional | | **Pastas do sistema** | `C:\Windows\`, `C:\Windows\System32\`, `C:\ProgramData\Microsoft\` | Evitar BSOD e instabilidade | | **Arquivos de boot** | `bootmgr`, `NTLDR`, `hiberfil.sys`, `pagefile.sys` | Sistema deve bootar após cifragem | | **Processos** | `explorer.exe`, `svchost.exe`, processo do navegador | Vítima deve conseguir ver nota de resgate | | **Pastas de segurança** | Diretórios de AV/EDR específicos | Evitar detecção durante execução | | **Arquivos ransomware** | A própria nota de resgate (ex: `READ_ME_RANSOM.txt`) | Garantir que a vítima vejá as instruções | | **Bancos de dados** | Às vezes excluídos em ataques direcionados | Exfiltração anterior à cifragem | ### Implementação Técnica A exclusão seletiva é implementada no payload via listas hardcoded ou configuráveis. Exemplos de padrões documentados em ransomware público: **Extensões comumente excluídas:** ``` .dll .exe .sys .msi .lnk .bat .cmd .ps1 .vbs .com .cpl .ini .inf .drv .ocx ``` **Pastas comumente excluídas:** ``` \Windows\ \Program Files\Windows Defender\ \$Recycle.Bin\ \ProgramData\Microsoft\Windows Defender\ \boot\ \System Volume Information\ ``` ### Variante - Exclusão de Ferramentas de Segurança Uma variante particularmente perigosa consiste em configurar **exclusões no próprio antivírus/EDR da vítima** antes de executar o payload malicioso. Isso é feito quando o adversário já possui acesso privilegiado ao sistema (via [[t1078-valid-accounts|contas válidas]] ou [[t1068-exploitation-for-privilege-escalation|escalação de privilégios]]) e pode: - Adicionar exclusões ao Windows Defender via PowerShell: `Add-MpPreference -ExclusionPath "C:\Temp\"` - Modificar políticas de grupo para excluir pastas do escaneamento - Usar ferramentas legítimas de gerenciamento (SCCM, Intune) para distribuir exclusões em escala corporativa Esta sub-variante é altamente relevante porque abusa de funcionalidades legítimas do sistema operacional, tornando-a muito mais difícil de detectar que a simples execução de malware. --- ## Attack Flow ```mermaid graph TB A([Adversário com acesso ao sistema]) --> B{Tipo de operação} B -->|Ransomware / Wiper| C[Payload com lista de exclusões<br/>hardcoded no binário] B -->|Acesso privilegiado prévio| D[Adicionar exclusões ao<br/>AV/EDR via PowerShell/GPO] C --> E[Enumeração de arquivos<br/>e pastas no sistema] D --> F[Exclusão registrada nas<br/>configurações do AV/EDR] E --> G{Arquivo/pasta\nna lista de exclusão?} G -->|Sim - excluído| H[Pular arquivo/pasta<br/>não cifrar / não destruir] G -->|Não - alvo| I[Processar arquivo<br/>cifrar / exfiltrar / destruir] F --> J[Executar payload<br/>na pasta excluída] J --> K[Payload executa sem<br/>detecção do AV/EDR] H --> L[Sistema permanece<br/>operacional] I --> L K --> L L --> M{Objetivo alcançado?} M -->|Ransomware| N[Nota de resgate exibida<br/>sistema parcialmente funcional] M -->|Espionagem| O[Implante persistente<br/>sem detecção] M -->|Destruição| P[Dados críticos destruídos<br/>sistema operacional preservado] ``` --- ## Exemplos de Uso ### Malware com Selective Exclusion Documentado | Família | Tipo | Exclusões Observadas | Referência | |---------|------|----------------------|------------| | [[s1244-medusa-ransomware\|Medusa Ransomware]] | Ransomware | Extensões de sistema, pastas Windows, pastas Defender, nota de resgate | MITRE ATT&CK, Trend Micro | | [[s1245-invisibleferret\|InvisibleFerret]] | Backdoor / Infostealer | Exclui certos diretórios de usuário para evitar detecção comportamental | MITRE ATT&CK | | [[s1247-embargo\|Embargo]] | Ransomware | Exclusão de extensões críticas de boot e sistema | MITRE ATT&CK, SentinelOne | | LockBit 3.0 | Ransomware | Lista extensa de exclusões de pastas e extensões; excluía também processos de AV antes de cifrar | Multiple vendors | | BlackCat/ALPHV | Ransomware | Configuração JSON com listas de exclusões customizáveis por afiliado | Mandiant, CrowdStrike | | Cl0p | Ransomware | Exclusões baseadas em processos críticos para manter sistema funcional durante cifragem | Securelist | ### Contexto de Afiliados de Ransomware Um aspecto crítico do Selective Exclusion em operações modernas de **Ransomware-as-a-Service (RaaS)** é que as listas de exclusão são frequentemente **configuráveis pelo afiliado**. Painéis de administração de grupos como LockBit e BlackCat permitiam que afiliados personalizassem quais arquivos, extensões e pastas seriam excluídos - adaptando o comportamento do ransomware ao ambiente-alvo específico. > [!example] Ataques no Brasil > Grupos de ransomware com operações documentadas no Brasil - incluindo operadores afiliados ao LockBit, [[rhysida-ransomware|Rhysida]] e [[play-ransomware|Play]] - utilizam Selective Exclusion de forma consistente em ataques a organizações brasileiras nos setores de [[_sectors|saúde]], [[_sectors|financeiro]] e [[_sectors|governo]]. A preservação do sistema operacional garante que a vítima possa acessar canais de comúnicação com os atacantes. --- ## Detecção ### Indicadores de Comprometimento | Indicador | Tipo | Prioridade | |-----------|------|------------| | Adição de exclusões ao Windows Defender via `Add-MpPreference` | PowerShell | Crítica | | Modificação de chaves de registro em `HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\` | Registro | Crítica | | Processo enumerando e pulando arquivos `.dll` / `.exe` em massa | Comportamento | Alta | | Volume anômalo de operações de abertura/modificação de arquivos excluindo System32 | Comportamento | Alta | | GPO modificada para adicionar caminhos de exclusão ao Defender | Evento Windows | Alta | | Processo não reconhecido lendo conteúdo de `C:\Users\` e ignorando `C:\Windows\` | EDR | Média | ### Regra Sigma ```yaml title: Suspicious Windows Defender Exclusion via PowerShell id: 9d1f4e83-2a7c-48b6-9e05-c3f7b82d1a49 status: stable description: > Detecta adição de exclusões ao Windows Defender via PowerShell - padrão comum em malware que usa Selective Exclusion (T1679) para evitar detecção antes de executar payload malicioso. references: - https://attack.mitre.org/techniques/T1679/ - https://docs.microsoft.com/en-us/powershell/module/defender/add-mppreference author: RunkIntel daté: 2026-03-25 tags: - attack.defense_evasion - attack.t1679 logsource: product: windows category: ps_script definition: Script block logging deve estar habilitado detection: selection_add_exclusion: ScriptBlockText|contains: - 'Add-MpPreference' - '-ExclusionPath' - '-ExclusionExtension' - '-ExclusionProcess' - 'Set-MpPreference' - 'DisableRealtimeMonitoring' filter_admin_mgmt: # Excluir scripts legítimos de gerenciamento com paths conhecidos ScriptBlockText|contains: - 'C:\ProgramData\ManagementAgent\' - 'C:\Windows\CCM\ClientUX\' condition: selection_add_exclusion and not filter_admin_mgmt falsepositives: - Scripts de gerenciamento de TI legítimos (SCCM, Intune) - Exclusões adicionadas por fornecedores de software durante instalação - Scripts de administração autorizados do time de infra level: high ``` ### Regra Sigma - Registro do Windows ```yaml title: Windows Defender Exclusion Registry Modification id: 2e8f5c14-7b3d-49a1-8c67-f9e2a14b7d85 status: stable description: > Detecta modificação direta das chaves de registro de exclusão do Windows Defender, indicador alternativo de Selective Exclusion (T1679). references: - https://attack.mitre.org/techniques/T1679/ author: RunkIntel daté: 2026-03-25 tags: - attack.defense_evasion - attack.t1679 logsource: product: windows category: registry_set detection: selection_defender_exclusion: TargetObject|startswith: - 'HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\' - 'HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions\' filter_defender_process: Image|endswith: - '\MsMpEng.exe' - '\SecurityHealthService.exe' condition: selection_defender_exclusion and not filter_defender_process falsepositives: - Administradores adicionando exclusões legítimas via regedit - Software de segurança de terceiros modificando exclusões do Defender level: high ``` ### Fontes de Dados para Monitoramento | Fonte | O que monitorar | |-------|----------------| | Windows Event Log (4688) | Processos criando listas de exclusão via CLI ou PowerShell | | PowerShell Script Block Logging (4104) | `Add-MpPreference`, `Set-MpPreference`, exclusões via API .NET | | Registry Auditing | Chaves sob `HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\` | | EDR File Activity | Processos que acessam grandes volumes de arquivos pulando extensões de sistema | | Windows Defender Operational Log | Eventos de exclusão adicionada (Event ID 5007) | | Group Policy auditing | Modificações de GPO que afetam configurações do Defender | --- ## Mitigação > [!warning] Limitações de Mitigação > Esta técnica é inerentemente difícil de mitigar completamente porque explora o **comportamento esperado** de malware/ransomware em relação ao sistema operacional. As defesas mais eficazes são preventivas (evitar execução do payload) e de detecção precoce (identificar exclusões suspeitas antes da ativação do ransomware). | Controle | Descrição | Efetividade | |----------|-----------|-------------| | Least Privilege | Restringir quem pode modificar exclusões do Windows Defender - apenas administradores de segurança específicos, nunca usuários comuns ou de serviço | Alta | | Application Allowlisting | [[t1553-subvert-trust-controls\|Controle de execução]] via Windows Defender Application Control (WDAC) ou AppLocker - impede execução de payloads não autorizados antes que exclusões sejam relevantes | Muito Alta | | Monitoramento de exclusões | Alertar em tempo real sobre qualquer adição de exclusão ao Defender via SIEM/EDR | Alta | | Tamper Protection | Habilitar Tamper Protection no Microsoft Defender para impedir que processos externos modifiquem configurações de segurança | Alta | | Backup imutável | Manter backups offline ou imutáveis (WORM) - exclusão seletiva não afeta backups não conectados à rede | Alta | | Segmentação de rede | Isolar sistemas críticos para limitar o alcance de ransomware mesmo que sejá executado | Média | | EDR com proteção anti-ransomware | Soluções como Defender for Endpoint, CrowdStrike e SentinelOne possuem módulos específicos de detecção de comportamento de cifragem em massa | Alta | --- ## Contexto Brasil/LATAM O Brasil é consistentemente um dos países mais afetados por ransomware na América Latina. Grupos como LockBit, REvil, BlackCat/ALPHV, [[rhysida-ransomware|Rhysida]] e operadores locais têm vitimado organizações brasileiras em todos os setores - e todos utilizam Selective Exclusion como componente padrão de seus payloads. ### Setores Mais Afetados no Brasil > [!example] Impacto Documentado > **Saúde**: Hospitais brasileiros têm sido alvos frequentes de ransomware - o Hospital das Clínicas (SP) e outras grandes instituições já sofreram ataques. Ransomware com Selective Exclusion cifra prontuários enquanto preserva sistemas de exibição de mensagens de resgate. > > **Governo municipal e estadual**: Prefeituras e secretarias estaduais com infraestrutura Windows legada são alvos de oportunidade - Windows Defender sem Tamper Protection e administradores com privilégios excessivos facilitam a adição de exclusões. > > **Varejo e e-commerce**: Lojas online e operações de varejo dependem de ERPs em Windows Server. Ransomware com Selective Exclusion cifra dados de clientes e transações enquanto preserva o SO, causando dano máximo com mínimo risco de travamento imediato. ### Famílias Relevantes com Atividade no LATAM | Família | Atividade em LATAM | Uso de Selective Exclusion | |---------|-------------------|---------------------------| | [[s1244-medusa-ransomware\|Medusa Ransomware]] | Confirmada - múltiplas vítimas no Brasil | Documentado pelo MITRE ATT&CK | | LockBit 3.0 / LockBit 4.0 | Alta atividade no Brasil e Argentina | Lista configurável de exclusões por afiliado | | [[s1247-embargo\|Embargo]] | Casos reportados no LATAM | Documentado pelo MITRE ATT&CK | | Cl0p | Campanha global incluindo organizações brasileiras (MOVEit) | Exclusões de sistema padrão | ### Recomendações Específicas para Organizações Brasileiras 1. **Habilitar Tamper Protection** no Microsoft Defender em todos os endpoints - impede modificações externas às configurações de segurança 2. **Auditar exclusões existentes** no Defender em toda a frota - exclusões legadas esquecidas são vetor de ataque 3. **Implementar alertas em tempo real** para Event ID 5007 (modificação de exclusão do Defender) no SIEM 4. **Adotar backup imutável** (solução WORM ou backup offline) - a única proteção garantida contra ransomware com Selective Exclusion 5. **Restringir PowerShell** a usuários administradores explicitamente autorizados - `Add-MpPreference` requer privilégio, mas muitas organizações brasileiras têm excesso de usuários com direitos administrativos locais 6. **Revisar GPOs** de todo o domínio para identificar políticas que adicionam exclusões ao Defender sem justificativa documentada --- ## Referências - [MITRE ATT&CK - T1679: Selective Exclusion](https://attack.mitre.org/techniques/T1679/) - [Microsoft Defender - Add-MpPreference (documentação)](https://docs.microsoft.com/en-us/powershell/module/defender/add-mppreference) - [Mandiant - LockBit 3.0 Analysis](https://www.mandiant.com/) - [Trend Micro - Medusa Ransomware Technical Analysis](https://www.trendmicro.com/) - [SentinelOne - Embargo Ransomware Report](https://www.sentinelone.com/) - [CERT.br - Alertas de Ransomware no Brasil](https://www.cert.br/) - [[s1244-medusa-ransomware|Medusa Ransomware]] - [[s1245-invisibleferret|InvisibleFerret]] - [[s1247-embargo|Embargo]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[m1040-behavior-prevention-on-endpoint|M1040 - Behavior Prevention on Endpoint]] --- *Fonte: [MITRE ATT&CK - T1679](https://attack.mitre.org/techniques/T1679)*