# T1489 - Service Stop ## Descrição A técnica T1489 descreve o comportamento de adversários que encerram ou desabilitam serviços críticos do sistema operacional como etapa preparatória para causar dano máximo ao ambiente da vítima. Ao parar serviços como bancos de dados, backups, antivírus, Exchange Server ou agentes de monitoramento, o atacante remove as defesas restantes e libera o acesso exclusivo aos arquivos de dados que esses serviços mantinham bloqueados. Em ambientes Windows, isso é tipicamente executado com `net stop`, `sc config`, `taskkill` ou modificações diretas nas chaves de registro `HKLM\SYSTEM\CurrentControlSet\Services`. Em Linux e ESXi, o equivalente envolve `systemctl stop`, `service stop` ou encerramento forçado de processos com `kill -9`. A paralisação de serviços é uma etapa nuclear dentro do playbook de ransomware: sem ela, ferramentas de criptografia como [[wannacry|WannaCry]], [[clop|Clop]] e [[s1073-royal-blacksuit|Royal]] não conseguiriam encriptar os arquivos de banco de dados (`.mdf`, `.ldf`, `.bak`) ou mailboxes Exchange (`.edb`) que permanecem bloqueados pelos processos de serviço. Por isso, grupos como [[g0102-conti-group|Wizard Spider]] e [[g0119-indrik-spider|Indrik Spider]] embutem listas hardcoded de 150–400 serviços alvo diretamente em seus ransomwares, garantindo que a etapa de parada sejá executada em batch antes que qualquer arquivo sejá criptografado ou destruído via [[t1485-data-destruction|Data Destruction]]. **Contexto Brasil/LATAM:** O Brasil é um dos países com maior incidência de ataques de ransomware no LATAM, e T1489 está presente em práticamente 100% das operações documentadas contra o setor [[_sectors|financeiro]], [[_sectors|saúde]] e governo federal. Grupos como [[g1051-medusa-ransomware|Medusa Group]] e [[g1004-lapsus|LAPSUS$]] utilizaram paralisação de serviços em ataques a empresas brasileiras de telecomúnicações, utilities e manufatura. Em incidentes envolvendo [[s0640-avaddon|Avaddon]] contra hospitais brasileiros durante 2020-2021, a paralisação de serviços de backup (Veeam, Windows Backup) foi a primeira ação executada, garantindo que nenhuma recuperação imediata fosse possível. Em ambientes ESXi, o [[s1247-embargo|Embargo]] e outros ransomwares modernos encerram VMs inteiras via APIs do hypervisor antes da criptografia dos datastores. ## Attack Flow ```mermaid graph TB A[Acesso privilegiado<br/>Admin / SYSTEM] --> B[Enumeração de serviços<br/>sc query / tasklist] B --> C[Paralisação em batch<br/>net stop / sc config] C --> D:::highlight[T1489 - Service Stop<br/>Backup, AV, DB, Exchange] D --> E[Criptografia ou Destruição<br/>T1486 / T1485] classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona **1. Preparação** Após obter privilégios de administrador local ou de domínio - frequentemente via [[t1078-valid-accounts|Valid Accounts]] ou [[t1548-abuse-elevation-control-mechanism|Abuse Elevation Control Mechanism]] - o atacante enumera os serviços em execução com `sc query type= all state= running` ou `tasklist /svc`. Ferramentas como [[clop|Clop]] e [[s0659-diavol|Diavol]] trazem listas hardcoded de serviços alvo (backups, bancos de dados, segurança, Exchange) que são encerrados independentemente da enumeração prévia. **2. Execução** A paralisação ocorre em loop sobre a lista alvo usando uma combinação de comandos: `net stop [serviço] /y`, `sc config [serviço] start= disabled`, e `taskkill /F /IM [processo].exe`. Em ambientes onde serviços têm proteção de tamper (ex.: Windows Defender com tamper protection), o atacante primeiramente desabilita a proteção via registro (`HKLM\SOFTWARE\Policies\Microsoft\Windows Defender`) ou usa um driver vulnerável para escalar privilégios no kernel. No ESXi, o [[s1247-embargo|Embargo]] usa comandos `esxcli vm process kill` e `vim-cmd vmsvc/power.off` para encerrar todas as VMs antes de criptografar os datastores VMFS. **3. Pós-execução** Com os serviços parados, os arquivos anteriormente bloqueados ficam acessíveis para criptografia ([[t1486-data-encrypted-for-impact|Data Encrypted for Impact]]) ou destruição ([[t1485-data-destruction|Data Destruction]]). O atacante também desabilita serviços de recuperação como Shadow Copy (`vssadmin delete shadows /all /quiet`) e desabilita o serviço Windows Backup Service para garantir que a recuperação sejá impossível sem a chave de descriptografia. Em ambientes IaaS como AWS, a técnica equivale a desabilitar APIs críticas via `DisableAPIServiceAccess`, interrompendo a capacidade de resposta automatizada do ambiente cloud. ## Detecção > [!danger] Indicadores de Alerta Crítico > - `net stop` executado em loop contra múltiplos serviços em < 60 segundos > - Modificação de `Start` value em `HKLM\SYSTEM\CurrentControlSet\Services\*` para `4` (disabled) > - `taskkill /F` contra processos de backup, antivírus ou banco de dados > - Serviços de VSS ou Windows Backup encerrados por processo não-sistema **Event IDs relevantes (Windows):** | Source | Event ID | Descrição | |--------|----------|-----------| | System | **7036** | Service Control Manager - serviço entrou em estado stopped/running | | System | **7040** | Tipo de inicialização de serviço alterado (para disabled) | | Security | **4688** | Criação de processo - `net.exe stop`, `sc.exe config`, `taskkill.exe` | | Sysmon | **1** | Process Creation - linha de comando completa de `net stop` ou `sc config` | | Security | **4657** | Registry Value Modified - mudança em `Start` value de serviços críticos | **Sigma Rule - Paralisação em Batch de Serviços Críticos:** ```yaml title: Ransomware Service Stop - Batch Critical Services id: c7e4a2f1-3b5d-4e6c-9a8b-2d1e3f4c5b6a status: stable description: > Detecta paralisação rápida e sequencial de múltiplos serviços críticos, comportamento característico da fase pré-criptografia de ransomware (T1489). logsource: product: windows service: system detection: selection: EventID: 7036 param2: 'stopped' filter_normal: param1: - 'Print Spooler' - 'Windows Updaté' timeframe: 60s condition: selection and not filter_normal | count() by ComputerName > 5 falsepositives: - Manutenção planejada com shutdown de múltiplos serviços - Scripts de deploy legítimos level: high tags: - attack.impact - attack.t1489 --- title: Service Start Type Changed to Disabled id: a1b2c3d4-e5f6-7890-abcd-ef1234567890 status: experimental logsource: product: windows service: system detection: selection: EventID: 7040 param3: 'disabled' critical_services: param1: - 'wuauserv' - 'WinDefend' - 'MSSQLServer' - 'MSExchangeIS' - 'VeeamBackupSvc' - 'BackupExecAgentAccelerator' condition: selection and critical_services level: critical tags: - attack.impact - attack.t1489 ``` ## Mitigação | Controle | Implementação Prática para Organizações Brasileiras | |----------|-----------------------------------------------------| | **[[m1022-restrict-file-and-directory-permissions\|M1022 - Restrict File and Directory Permissions]]** | Remover permissão de `SERVICE_STOP` e `SERVICE_CHANGE_CONFIG` para usuários não-administradores; usar contas de serviço com privilégio mínimo | | **[[m1024-restrict-registry-permissions\|M1024 - Restrict Registry Permissions]]** | Proteger `HKLM\SYSTEM\CurrentControlSet\Services` com ACLs que impeçam modificação por contas não-SYSTEM ou não-TrustedInstaller | | **[[m1018-user-account-management\|M1018 - User Account Management]]** | Implementar modelo de contas privilegiadas separadas (PAM); exigir aprovação via ticketing para parada de serviços críticos de produção | | **[[m1030-network-segmentation\|M1030 - Network Segmentation]]** | Segmentar servidores de backup em VLAN isolada com acesso restrito; impede que ransomware alcance sistemas de recuperação via movimento lateral | | **[[m1060-out-of-band-communications-channel\|M1060 - Out-of-Band Commúnications Channel]]** | Manter canal de comúnicação alternativo (ex.: GSM/OOB) para acesso a sistemas críticos independente da rede principal - essencial para resposta a incidentes | | **Tamper Protection** | Habilitar Windows Defender Tamper Protection via Intune/GPO; impede que processos não-privilegiados desabilitem o antivírus via registro ou API | | **Immutable Backups** | Implementar backups imutáveis (Object Lock S3, Veeam Hardened Repository) offline ou air-gapped; garante recuperação mesmo após paralisação e destruição de backups online | ## Threat Actors - [[g1051-medusa-ransomware|Medusa Group]] - ransomware-as-a-service ativo contra Brasil; para serviços de backup e segurança como etapa obrigatória antes da criptografia em ambientes Windows e ESXi - [[g0032-lazarus-group|Lazarus Group]] - APT norte-coreano; usa paralisação de serviços em operações de sabotagem financeira, combinando T1489 com [[t1485-data-destruction|Data Destruction]] para máxima disrupção - [[g0034-sandworm|Sandworm Team]] - APT russo (GRU Unit 74455); T1489 documentado em ataques à infraestrutura crítica ucraniana com [[s0365-olympic-destroyer|Olympic Destroyer]] e [[s0688-meteor|Meteor]], técnicas replicáveis contra utilities brasileiras - [[g1004-lapsus|LAPSUS$]] - grupo brasileiro/sul-americano de extorsão; usou paralisação de serviços em ataques a empresas de telecomúnicações e tecnologia no Brasil e Portugal - [[g0102-conti-group|Wizard Spider]] - operadores do ransomware [[s1073-royal-blacksuit|Royal]] e [[s0659-diavol|Diavol]]; automatiza parada de 300+ serviços via scripts BAT hardcoded antes de cada operação de criptografia - [[g0119-indrik-spider|Indrik Spider]] - operadores do [[s0640-avaddon|Avaddon]] e Evil Corp adjacente; para serviços de backup como alvo primário em campanhas contra hospitais e manufatura ## Software Associado - [[clop|Clop]] - ransomware do grupo TA505; lista hardcoded de ~900 processos e serviços encerrados antes da criptografia, incluindo todos os serviços de backup da Veeam e Symantec - [[wannacry|WannaCry]] - worm-ransomware do [[g0032-lazarus-group|Lazarus Group]]; encerra serviços de banco de dados e Exchange para criptografar arquivos bloqueados - causou bilhões em danos globais incluindo o Brasil - [[s0640-avaddon|Avaddon]] - ransomware usado contra hospitais brasileiros; script dedicado para parada de serviços de backup e antivírus antes da fase de criptografia - [[s1073-royal-blacksuit|Royal]] - ransomware do [[g0102-conti-group|Wizard Spider]]; para serviços via `net stop` e encerra processos via `taskkill` como etapa de pré-criptografia - [[s0659-diavol|Diavol]] - ransomware do ecossistema Trickbot; mata processos e serviços usando snapshot de API do Windows sem invocar `net.exe` para evasão de detecção - [[s0688-meteor|Meteor]] - wiper iraniano; para serviços Windows antes de corromper MBR e apagar arquivos do sistema - [[s1247-embargo|Embargo]] - ransomware moderno para ESXi; usa APIs do hypervisor para encerrar todas as VMs antes de criptografar datastores VMFS - [[s1211-hannotog|Hannotog]] - backdoor usado em operações de espionagem; inclui capacidade de parar serviços de segurança como preparação para exfiltração - [[s0365-olympic-destroyer|Olympic Destroyer]] - wiper do [[g0034-sandworm|Sandworm Team]]; para serviços e deleta shadow copies como principal mecanismo de sabotagem - [[s0582-lookback|LookBack]] - RAT usado em campanhas contra utilities; para serviços de monitoramento para evasão durante operações de coleta de dados --- *Fonte: [MITRE ATT&CK - T1489](https://attack.mitre.org/techniques/T1489)*