t1653-power-settings

# T1653 - Power Settings ## Descrição Adversários podem manipular as configurações de energia de um sistema para impedir que ele entre em modo de hibernação, reinicialize ou sejá desligado. O objetivo é manter o acesso persistente à máquina comprometida o maior tempo possível - afinal, muitos tipos de malware não sobrevivem a uma reinicialização. Quando um computador entra em estado de dormência (standby, hibernação, bloqueio de tela), parte do software em execução pode ser interrompida, o que encerra a atividade maliciosa em andamento. Para evitar isso, o atacante configura o sistema para nunca entrar nesses estados. No Windows, o utilitário `powercfg` permite controlar todas as configurações de energia do sistema. Um adversário com acesso suficiente pode usá-lo para desabilitar o standby, estender o tempo de bloqueio de tela ou desativar por completo a hibernação. Configurações como o timeout de disco e o timer de inatividade também podem ser ajustadas para manter a sessão ativa indefinidamente. Além da manipulação via ferramentas de sistema, adversários mais agressivos podem **deletar os arquivos responsáveis por acionar o desligamento ou reinicialização**, eliminando completamente a capacidade do sistema de executar essas ações. Esse comportamento é especialmente relevante em dispositivos de rede, onde reinicializações são infrequentes e as configurações de energia raramente são monitoradas. Essa técnica é catalogada na tática de [[persistence|Persistência]] do MITRE ATT&CK e complementa outras abordagens como [[t1547-boot-or-logon-autostart-execution|Boot or Logon Autostart Execution]] e [[t1543-create-or-modify-system-process|Creaté or Modify System Process]]. ## Como Funciona na Prática ```mermaid graph TB A([Acesso Inicial ao Sistema]) --> B{Nível de Privilégio} B -->|Admin/SYSTEM| C[Modificar configurações de energia] B -->|Usuário comum| D[Explorar CVE para escalar privilégio] D --> C C --> E[powercfg /change standby-timeout-ac 0] C --> F[Estender timeout de bloqueio de tela] C --> G[Desabilitar hibernação] G --> H{Sistema permanece ativo} H --> I[Malware continua operando] H --> J[Sessão C2 mantida] I --> K([Persistência de longo prazo garantida]) J --> K ``` ## Comandos Observados No Windows, os comandos mais comuns envolvendo `powercfg`: ```powershell # Desabilitar standby (AC e bateria) powercfg /change standby-timeout-ac 0 powercfg /change standby-timeout-dc 0 # Desabilitar hibernação powercfg /hibernaté off # Listar configurações de energia atuais powercfg /query # Definir plano de energia de alto desempenho (nunca dorme) powercfg /setactive 8c5e7fda-e8bf-4a96-9a85-a6e23a8c635c ``` No Linux e macOS, equivalentes incluem manipulação de arquivos de configuração de gerenciamento de energia (`/etc/systemd/sleep.conf`, `pmset` no macOS) ou simply deletando binários como `shutdown`, `reboot` e `poweroff`. ## Impacto e Relevância | Dimensão | Detalhes | |----------|----------| | Persistência | Alta - sessões ativas indefinidamente | | Detecção | Baixa - configurações de energia raramente são auditadas | | Plataformas | Windows, Linux, macOS, dispositivos de rede | | Privilégio necessário | Administrador local ou SYSTEM | | Reversão | Fácil após detecção (restaurar configurações padrão) | ## Detecção O principal desafio é que a modificação de configurações de energia é uma atividade **legítima** em muitos ambientes corporativos. A detecção eficaz requer análise de contexto: - Monitorar execuções de `powercfg` com argumentos que zerem timeouts (`standby-timeout-ac 0`, `hibernaté off`) - Alertar para deleção dos binários `shutdown`, `reboot`, `halt` ou `poweroff` em sistemas Linux - Correlacionar mudanças de configuração de energia com outros indicadores de comprometimento (conexões C2 ativas, criação de tarefas agendadas suspeitas) - Em dispositivos de rede, auditoria de mudanças na configuração de energia via [[m1047-audit|M1047 - Audit]] - Monitorar eventos do Windows: `Event ID 4657` (mudança de valor de registro) para chaves relacionadas a planos de energia ## Contexto Brasil/LATAM No Brasil e na América Latina, a manipulação de configurações de energia é um vetor de persistência frequentemente observado em ataques de ransomware de longa duração - especialmente aqueles que envolvem uma fase extensa de reconhecimento interno (dwell time) antes da detonação do payload final. Grupos como afiliados do [[lockbit-ransomware|LockBit]] e do [[blackcat|ALPHV]], documentados em incidentes contra empresas brasileiras nos setores de [[healthcare|saúde]], [[manufatura|manufatura]] e [[financial|financeiro]], utilizam `powercfg` para garantir que os servidores comprometidos permaneçam ativos durante as fases de movimentação lateral e exfiltração - que podem se estender por semanas. Ambientes de infraestrutura crítica no Brasil - como operadoras de [[energy|energia elétrica]], empresas de [[telecommunications|telecomúnicações]] e instalações industriais com redes OT - frequentemente operam dispositivos de rede e servidores Linux sem monitoramento de configurações de energia. O [[s1188-line-runner|Line Runner]], backdoor para Cisco IOS XE documentado em campanhas contra infraestrutura de rede, exemplifica como atores avançados exploram a baixa frequência de reinicialização de dispositivos de rede para manter implantes in-memory por meses sem detecção. No contexto de SOCs brasileiros, o principal gap é a ausência de baseline de configurações de energia nos endpoints e servidores gerenciados. Sem uma referência do estado esperado, qualquer alteração via `powercfg` - incluindo as maliciosas - passa despercebida. A implementação da mitigação [[m1047-audit|M1047 - Audit]] com alertas para execuções de `powercfg` com argumentos de timeout zero ou desativação de hibernação é um controle de baixo custo e alto impacto para detectar essa técnica precocemente na cadeia de ataque. ## Malware Associado - [[s1188-line-runner|Line Runner]] - malware de backdoor para dispositivos Cisco IOS XE que abusa de configurações de persistência de baixo nível - [[s1186-line-dancer|Line Dancer]] - implante in-memory associado ao Line Runner, persistente em memória sem arquivo ## Mitigação | ID | Mitigação | Aplicação | |----|-----------|-----------| | [[m1047-audit\|M1047 - Audit]] | Auditoria de configurações | Monitorar e auditar regularmente as configurações de energia em endpoints e dispositivos de rede. Comparar contra baseline aprovado. | ## Referências Cruzadas - [[t1547-boot-or-logon-autostart-execution|T1547 - Boot or Logon Autostart Execution]] - persistência via inicialização automática - [[t1543-create-or-modify-system-process|T1543 - Creaté or Modify System Process]] - persistência via serviços do sistema - [[t1562-impair-defenses|T1562 - Impair Defenses]] - técnica relacionada de prejuízo a controles de segurança - [[m1047-audit|M1047 - Audit]] - mitigação recomendada --- *Fonte: MITRE ATT&CK - T1653 (https://attack.mitre.org/techniques/T1653)*