t1518-002-backup-software-discovery

# T1518.002 - Backup Software Discovery ## Técnica Pai Esta é uma sub-técnica de [[t1518-software-discovery|T1518 - T1518 - Software Discovery]]. ## Descrição Adversários que comprometem sistemas corporativos frequentemente realizam reconhecimento de software instalado antes de executar payloads destrutivos. A descoberta de software de backup é uma etapa de enumeração específica voltada para identificar quais ferramentas de proteção e recuperação de dados estão presentes no ambiente - como Veeam, Acronis, Veritas, Windows Server Backup, Paragon ou soluções de backup em nuvem como Datto. O conhecimento dessas ferramentas permite ao adversário planejar como neutralizá-las antes de executar [[t1486-data-encrypted-for-impact|Data Encrypted for Impact]] ou [[t1485-data-destruction|Data Destruction]]. A enumeração ocorre por meios comuns de descoberta de software: consultas ao registro do Windows (`reg query`), listagem de processos em execução via `tasklist`, verificação de diretórios de instalação com `dir`, ou consultas ao WMI/PowerShell para listar programas instalados. Comandos de rede como `netsh` também podem revelar configurações de agentes de backup que comúnicam-se com servidores remotos. Essa subtécnica é derivada de [[t1518-*|T1518 - Software Discovery]] e é categoricamente prévia à inibição de recuperação [[t1490-inhibit-system-recovery|T1490]]. **Contexto Brasil/LATAM:** O [[g0102-conti-group|Wizard Spider]], responsável pelo ransomware Ryuk e pelo [[t1486-data-encrypted-for-impact|Conti]], realiza descoberta de backup como etapa mandatória antes de criptografar ambientes Windows. No Brasil, ataques de ransomware que afetaram hospitais, prefeituras e empresas do agronegócio em 2023–2025 seguiram esse padrão: enumeração de Veeam e Windows Shadow Copies antes da execução do payload. A maturidade baixa de segmentação de rede em data centers regionais facilita que um único agente comprometido enumere backups de toda a infraestrutura. **Event IDs relevantes (Windows):** | Event ID | Fonte | Descrição | |----------|-------|-----------| | 4688 | Windows Security | Criação de processo - monitorar `reg.exe`, `tasklist.exe`, `wmic.exe` com argumentos de backup | | 4663 | Windows Security | Acesso a objeto - leitura de chaves de registro relacionadas a Veeam/Acronis | | 1 | Sysmon | Criação de processo com linha de comando completa | | 13 | Sysmon | Registry value set - modificações em chaves de backup | **Sigma Rule:** ```yaml title: Backup Software Discovery via Registry or CLI id: b4e2d1f3-6c7a-8b9e-0d1f-2a3b4c5d6e7f status: experimental description: > Detecta tentativas de enumeração de software de backup instalado via consultas ao registro do Windows ou linha de comando. Comportamento típico de pré-ransomware, especialmente associado ao Wizard Spider (Ryuk/Conti). references: - [[t1518-002-backup-software-discovery]] author: RunkIntel daté: 2026-03-24 tags: - attack.discovery - attack.t1518.002 logsource: category: process_creation product: windows detection: selection_reg: Image|endswith: '\reg.exe' CommandLine|contains: - 'Veeam' - 'Acronis' - 'Veritas' - 'BackupExec' - 'Paragon' - 'Backup' selection_wmi: Image|endswith: - '\wmic.exe' - '\powershell.exe' CommandLine|contains: - 'Win32_Product' - 'Get-WmiObject' CommandLine|contains: - 'backup' - 'veeam' - 'acronis' selection_dir: Image|endswith: '\cmd.exe' CommandLine|contains: - 'Program Files\Veeam' - 'Program Files\Acronis' - 'Program Files\Veritas' condition: 1 of selection_* falsepositives: - Administradores verificando instalações de backup manualmente - Scripts de auditoria de conformidade (LGPD, ISO 27001) - Ferramentas de inventário de ativos (SCCM, Lansweeper) level: medium ``` ## Attack Flow ```mermaid graph TB A[Acesso Inicial] --> B[Reconhecimento de Software] B --> C["T1518.002 - Backup Discovery"]:::técnica C --> D{Backup Encontrado?} D -->|Sim| E[Mapear Versão e Credenciais] D -->|Não| F[Continuar com Destruição] E --> G[Inibir Recuperação - T1490] G --> H[Criptografar Dados - T1486] classDef técnica fill:#e74c3c,color:#fff ``` ## Como Funciona **1. Preparação** O adversário, após obter acesso inicial e elevar privilégios, executa comandos de enumeração para mapear o ambiente antes de iniciar a fase destrutiva. Nesta etapa, scripts automatizados (frequentemente parte do toolkit pós-exploração como Cobalt Strike ou Metasploit) executam consultas padronizadas de descoberta de software. O objetivo é identificar não apenas quais soluções de backup estão instaladas, mas também suas versões, credenciais armazenadas localmente e a localização dos repositórios de backup. **2. Execução** A enumeração ocorre por múltiplos vetores simultâneos: consultas ao registro em `HKLM\SOFTWARE` e `HKLM\SOFTWARE\WOW6432Node` para encontrar chaves de instalação de Veeam, Acronis e similares; listagem de serviços Windows (`sc query`) para identificar agentes de backup em execução; verificação de diretórios padrão (`C:\Program Files\Veeam`, `C:\Program Files\Acronis`); e uso de PowerShell com `Get-WmiObject Win32_Product` para listar todos os programas instalados. Em ambientes Linux, o adversário busca arquivos de configuração em `/etc/` e processos de agentes de backup como `bacula-fd`, `rsnapshot` ou agentes da AWS/Azure. **3. Pós-execução** Com o mapeamento completo, o adversário executa as etapas de neutralização: deleção de shadow copies via `vssadmin delete shadows /all /quiet`, parada de serviços de backup, alteração de credenciais dos consoles de gerenciamento Veeam/Acronis, e exfiltração das credenciais de acesso a repositórios de backup offsite antes de iniciar a criptografia. Essa sequência garantiu que ataques do [[g0102-conti-group|Wizard Spider]] resultassem em recuperação impossível sem pagamento do resgate. ## Detecção > [!warning] Indicadores de Detecção > Enumeração de software de backup raramente ocorre em contexto normal de uso. Qualquer execução de `reg query` ou `Get-WmiObject` focada em chaves de backup deve ser investigada. ## Mitigação > [!info] Nota > O MITRE ATT&CK não lista mitigações específicas para esta subtécnica, pois a enumeração em si usa ferramentas legítimas do sistema. A defesa concentra-se em detecção e em endurecer o ambiente de backup. | Controle | Abordagem | Recomendação para Organizações Brasileiras | |----------|-----------|---------------------------------------------| | Segmentação de Rede | Isolar servidores de backup | Colocar servidores Veeam/Acronis em VLAN dedicada sem acesso direto de workstations; exigir autenticação multifator para console de gerenciamento | | Hardening de Backup | Credenciais únicas e privilegiadas | Nunca reutilizar credenciais do AD nos agentes de backup; usar contas de serviço dedicadas com mínimo privilégio - prática crítica para PMEs brasileiras que frequentemente usam admin/admin | | Imutabilidade | Backup offsite imutável | Manter cópia de backup offsite em storage com proteção contra exclusão (object lock S3/Azure); avaliar serviços de BaaS de provedores nacionais como Locaweb Cloud ou Embratel | | Monitoramento | Alertar sobre acesso a chaves de registro de backup | Configurar regras no SIEM para alertar quando processos não autorizados acessam chaves de registro de Veeam, Acronis ou VSS | | Auditoria | Inventário periódico de software de backup | Manter inventário atualizado de todas as soluções de backup implantadas; avaliar conformidade com a LGPD no que se refere a dados pessoais em backups | ## Threat Actors - [[g0102-conti-group|Wizard Spider]] - Grupo de ransomware russo responsável pelo Ryuk e Conti que sistematicamente enumera e desabilita soluções de backup antes de criptografar ambientes Windows; responsável por dezenas de ataques a hospitais e prefeituras brasileiras entre 2022 e 2024, com demandas de resgate frequentemente superiores a R$ 1 milhão ## Software Associado > [!note] Ferramentas > Esta técnica utiliza principalmente ferramentas nativas do sistema operacional (LOLBins - Living Off the Land Binaries), não malware dedicado. - `reg.exe` / `reg query` - Ferramenta nativa do Windows usada para consultar chaves de registro de instalação de software de backup - `tasklist.exe` - Lista processos em execução para identificar agentes de backup ativos - `wmic.exe` / PowerShell `Get-WmiObject` - Enumera todos os programas instalados via WMI, incluindo Veeam e Acronis - `netsh` - Pode revelar configurações de rede de agentes de backup e suas portas de comunicação - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - Técnica subsequente que frequentemente segue a descoberta de backup - [[t1485-data-destruction|T1485 - Data Destruction]] - Técnica destrutiva frequentemente precedida por esta descoberta - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - Objetivo final da cadeia que começa com esta descoberta --- *Fonte: [MITRE ATT&CK - T1518.002](https://attack.mitre.org/techniques/T1518/002)*