# T1654 - Log Enumeration ## Descrição **Log Enumeration** é uma técnica de descoberta pós-acesso na qual o adversário lê, exporta ou monitora logs do sistema e de serviços para extrair informações operacionalmente valiosas. Registros de autenticação revelam contas privilegiadas e padrões de acesso (cruzando com [[t1087-account-discovery|Account Discovery]]); logs de aplicação expõem versões de software vulneráveis (alimentando [[t1518-software-discovery|Software Discovery]]); logs de rede mapeiam hosts ativos e sistemas internos (auxiliando [[t1018-remote-system-discovery|Remote System Discovery]]). Em ambientes corporativos, o adversário frequentemente também visa SIEMs e plataformas de observabilidade centralizada para compreender a capacidade de resposta a incidentes do defensor. Uma dimensão crítica e subestimada desta técnica é o **monitoramento ativo de logs em tempo real**: o adversário não apenas lê os logs para reconhecimento, mas continua acompanhando-os durante a operação para detectar alertas e ações de resposta, ajustando suas táticas para manter persistência e evitar detecção. Isso transforma os logs - originalmente uma ferramenta defensiva - em um ativo de inteligência para o atacante. No contexto **Brasil e LATAM**, esta técnica é relevante em ataques a instituições financeiras e órgãos governamentais que operam SOCs internos. Grupos como [[g1017-volt-typhoon|Volt Typhoon]] e [[g0143-aquatic-panda|Aquatic Panda]] realizam enumeração de logs como etapa essencial de reconhecimento antes de movimentação lateral em redes segmentadas. O [[s1194-akira-v2|Akira v2]] - ransomware ativo no Brasil - realiza leitura de logs de backup e segurança como parte de sua rotina pré-criptografia para identificar e neutralizar proteções. > [!danger] Risco de Double-Use: Logs como Arma > Quando o adversário monitora logs em tempo real durante um incidente, ele pode identificar que foi detectado **antes que a equipe de resposta estejá pronta para agir**, ganhando tempo para apagar rastros, destruir dados ou escalar privilégios. Isso torna a detecção de T1654 urgente - não apenas para bloquear o reconhecimento, mas para interromper o ciclo de feedback adversarial. ## Attack Flow ```mermaid graph TB A([Acesso Inicial]) --> B([Execução / Persistência]) B --> C{T1654<br>Log Enumeration}:::highlight C --> D([Account Discovery<br>T1087]) C --> E([Remote System Discovery<br>T1018]) C --> F([Software Discovery<br>T1518]) C --> G([Monitoramento IR<br>Evasão em tempo real]) D --> H([Movimentação Lateral]) E --> H F --> I([Exploração / Escalada]) G --> J([Ajuste de TTPs<br>Anti-Forense]) classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona **Passo 1 - Localização e Acesso a Fontes de Log** O adversário identifica onde os logs residem: no Windows, via Event Log (`C:\Windows\System32\winevt\Logs\`) acessado por `wevtutil.exe` ou [[t1059-001-powershell|PowerShell]] (`Get-WinEvent`, `Get-EventLog`); no Linux/macOS, via leitura direta de `/var/log/` com `cat`, `grep`, `journalctl`; em nuvem, via APIs do provedor - na Azure, o `CollectGuestLogs.exe` do VM Agent é frequentemente abusado para coleta de logs de segurança de instâncias hospedadas sem alertas adicionais. Ferramentas como [[s1091-pacu|Pacu]] automatizam a enumeração de logs em ambientes AWS (CloudTrail, CloudWatch). **Passo 2 - Extração e Análise de Inteligência** Com acesso aos logs, o adversário filtra por eventos de alto valor: tentativas de autenticação bem e mal-sucedidas (Event IDs 4624, 4625, 4648), escalada de privilégios (4672, 4673), modificações em contas e grupos (4720, 4732), e alertas de soluções de segurança. Em SIEMs como Splunk ou Elastic, o adversário pode executar queries para mapear a visibilidade do SOC - identificando lacunas de cobertura que serão exploradas nas próximas fases. Os dados são frequentemente exportados em bulk para infraestrutura externa via [[s1191-megazord|Megazord]] ou [[s1159-dusttrap|DUSTTRAP]]. **Passo 3 - Monitoramento Ativo e Anti-Forense** Na fase mais avançada, o adversário mantém um processo em background que monitora logs de segurança em tempo real para detectar indicadores de que foi descoberto (alertas de EDR, criação de tarefas de investigação, mudanças em políticas). Ao detectar resposta a incidentes, ele pode apagar trilhas seletivamente, mover C2 para novos hosts, ou acelerar o impacto final. Ferramentas como [[s1246-beavertail|BeaverTail]] implementam rotinas de monitoramento de log integradas ao malware. ## Detecção ### Event IDs Relevantes (Windows) | Fonte | Event ID | Descrição | |-------|----------|-----------| | Security | 4688 | Process Creaté - monitorar `wevtutil.exe`, `Get-WinEvent`, `Get-EventLog` | | Security | 1102 | Log de Auditoria limpo - sinal forte de anti-forense pós-enumeração | | System | 104 | Log do Sistema limpo - similar ao 1102 para System log | | PowerShell | 4103/4104 | Script Block Logging - `Get-WinEvent`, `Get-EventLog` com filtros suspeitos | | Sysmon | 1 | Process Creaté - `wevtutil.exe cl` (clear log) ou `wevtutil.exe epl` (export) | | Sysmon | 11 | File Creaté - criação de arquivos `.evtx` em locais incomuns (exfiltração de log) | ### Sigma Rule ```yaml title: Log Enumeration and Export via wevtutil id: b4c8d3e2-5f9a-4b0c-cd4e-2e3f6g7h8i9j status: experimental description: > Detecta enumeração e exportação de logs de eventos do Windows via wevtutil, PowerShell ou ferramentas nativas. Comportamento característico da técnica T1654. author: RunkIntel daté: 2026-03-24 references: - https://attack.mitre.org/techniques/T1654 logsource: category: process_creation product: windows detection: selection_wevtutil_export: Image|endswith: '\wevtutil.exe' CommandLine|contains: - ' epl ' - ' export-log ' - ' qe ' - ' query-events ' selection_wevtutil_clear: Image|endswith: '\wevtutil.exe' CommandLine|contains: - ' cl ' - ' clear-log ' selection_ps_eventlog: Image|endswith: - '\powershell.exe' - '\pwsh.exe' CommandLine|contains: - 'Get-WinEvent' - 'Get-EventLog' - 'System.Diagnostics.Eventing' selection_ps_export: Image|endswith: - '\powershell.exe' - '\pwsh.exe' CommandLine|contains: - 'Export-Csv' - 'Out-File' CommandLine|contains: - 'EventLog' - 'WinEvent' condition: 1 of selection_* falsepositives: - Scripts de backup de logs de auditoria (SIEM agents, Splunk UF) - Administradores exportando logs para análise forense legítima - Ferramentas de ITSM com coleta de logs agendada level: medium tags: - attack.discovery - attack.t1654 ``` ## Mitigação | Controle | Descrição | Prioridade para Orgs Brasileiras | |----------|-----------|----------------------------------| | Gerenciamento de contas de usuário (M1018) | Restringir quem pode ler logs de segurança - apenas contas de serviço SIEM e administradores devem ter acesso ao Event Log de Segurança | Alta - muitos ambientes brasileiros têm usuários comuns com acesso a logs | | Centralização de logs imutáveis | Enviar logs para SIEM/SYSLOG externo em tempo real com retenção protegida contra deleção | Alta - essencial para detectar tentativas de apagamento (Event IDs 1102/104) | | Controle de acesso a logs de nuvem | Aplicar políticas IAM restritivas em CloudTrail (AWS), Diagnostic Logs (Azure) e Cloud Audit (GCP) | Alta - ambiente multicloud crescente em grandes empresas brasileiras | | Detecção de export em massa | Alertar quando um processo não-SIEM exporta arquivos `.evtx` ou queries grandes no Event Log | Média - requer tuning, mas alta fidelidade quando bem configurado | | Segmentação do SIEM | Isolar a infraestrutura SIEM em VLAN dedicada com acesso restrito; nunca expor APIs de busca para hosts comuns | Alta - SIEMs comprometidos eliminam visibilidade defensiva completamente | | MFA em acesso a plataformas de observabilidade | Splunk, Elastic, Graylog e similares devem exigir MFA e registrar todas as queries executadas | Média - prática ainda pouco adotada em PMEs e governo no Brasil | ## Threat Actors que Usam Esta Técnica [[g1023-apt5|APT5]] - grupo de espionagem chinês focado em telecomúnicações e tecnologia. Documentado enumerando logs de acesso VPN e autenticação para mapear contas privilegiadas e jánelas de baixa atividade de monitoramento antes de movimentação lateral. [[g1017-volt-typhoon|Volt Typhoon]] - opera com TTL (time-to-live) extremamente longo em redes comprometidas. A leitura de logs de segurança em intervalos regulares faz parte de sua rotina de verificação de persistência - o grupo precisa garantir que sua presença não foi detectada antes de executar qualquer ação. [[g0143-aquatic-panda|Aquatic Panda]] - grupo chinês com foco em espionagem industrial. Utiliza ferramentas de enumeração de logs como parte de sua fase de reconhecimento profundo, com foco específico em logs de aplicações ERP e sistemas de gestão. [[g1003-ember-bear|Ember Bear]] - grupo russo associado a operações destrutivas na Ucrânia. Realiza enumeração de logs de backup e segurança antes de implantar wipers, garantindo que os backups estejam inacessíveis ou identificando onde estão armazenados. [[g0129-mustang-panda|Mustang Panda]] - utiliza [[s1246-beavertail|BeaverTail]] e ferramentas customizadas para coleta de logs em campanhas de espionagem governamental na América Latina, com interesse particular em logs de comunicação e autenticação. ## Software Associado | Ferramenta | Tipo | Uso na Técnica | |------------|------|----------------| | [[s1246-beavertail\|BeaverTail]] | Malware | Rotinas integradas de leitura de logs de autenticação e segurança | | [[s1091-pacu\|Pacu]] | Framework ofensivo AWS | Enumera CloudTrail, CloudWatch Logs e logs de acesso S3 | | [[s1191-megazord\|Megazord]] | Ransomware | Coleta logs de backup e segurança antes da fase de criptografia | | [[s1194-akira-v2\|Akira v2]] | Ransomware | Ativo no Brasil; lê logs de AV e backup para planejar desabilitação | | [[s1159-dusttrap\|DUSTTRAP]] | Implante | Exfiltra logs coletados para C2; usado por grupos de espionagem | --- *Fonte: [MITRE ATT&CK - T1654](https://attack.mitre.org/techniques/T1654)*