Evasão de Defesas
O que é Evasão de Defesas?
Evasão de DefesasTática MITRE ATT&CK (TA0005) que reúne técnicas usadas para evitar deteção, desativar ferramentas de segurança e ocultar a atividade do atacante no sistema alvo.
Evasão de Defesas (tática MITRE ATT&CK TA0005) agrupa técnicas concebidas para contornar, cegar ou enganar os controlos de segurança. É uma das maiores táticas da matriz e inclui payloads ofuscados e cifrados, injeção de processos, DLL side-loading, execução via binários assinados (LOLBins), desativação ou desinstalação de EDR/AV, limpeza de event logs, masquerading como processo legítimo, abuso de diretórios confiáveis, rootkits e ataques BYOVD (Bring Your Own Vulnerable Driver). Atravessa frequentemente toda a intrusão, entrelaçada com outras táticas. Os defensores respondem com telemetria ao nível do kernel, proteção anti-tamper do EDR, logging imutável, inventário de binários assinados e deteções comportamentais focadas em cadeias de atividade.
● Exemplos
- 01
Carregar um driver assinado vulnerável para desativar um EDR em modo kernel.
- 02
Renomear um executável malicioso para svchost.exe e colocá-lo em C:\Windows\.
● Perguntas frequentes
O que é Evasão de Defesas?
Tática MITRE ATT&CK (TA0005) que reúne técnicas usadas para evitar deteção, desativar ferramentas de segurança e ocultar a atividade do atacante no sistema alvo. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Evasão de Defesas?
Tática MITRE ATT&CK (TA0005) que reúne técnicas usadas para evitar deteção, desativar ferramentas de segurança e ocultar a atividade do atacante no sistema alvo.
Como funciona Evasão de Defesas?
Evasão de Defesas (tática MITRE ATT&CK TA0005) agrupa técnicas concebidas para contornar, cegar ou enganar os controlos de segurança. É uma das maiores táticas da matriz e inclui payloads ofuscados e cifrados, injeção de processos, DLL side-loading, execução via binários assinados (LOLBins), desativação ou desinstalação de EDR/AV, limpeza de event logs, masquerading como processo legítimo, abuso de diretórios confiáveis, rootkits e ataques BYOVD (Bring Your Own Vulnerable Driver). Atravessa frequentemente toda a intrusão, entrelaçada com outras táticas. Os defensores respondem com telemetria ao nível do kernel, proteção anti-tamper do EDR, logging imutável, inventário de binários assinados e deteções comportamentais focadas em cadeias de atividade.
Como se defender contra Evasão de Defesas?
As defesas contra Evasão de Defesas costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Evasão de Defesas?
Nomes alternativos comuns: Evasão defensiva, TA0005.
● Termos relacionados
- compliance№ 687
MITRE ATT&CK
Base de conhecimento global e aberta sobre táticas e técnicas de adversários observadas em ataques reais, mantida pela MITRE.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Tecnologia de segurança de endpoint que regista continuamente atividade de processos, ficheiros, registo e rede para detetar, investigar e responder a ameaças nos hosts.
- malware№ 949
Rootkit
Malware furtivo que concede e oculta acesso privilegiado a um sistema operativo ou dispositivo, escapando às ferramentas de deteção comuns.
- malware№ 417
Malware sem ficheiro
Malware que corre essencialmente em memória e tira partido de ferramentas legítimas do sistema, evitando executáveis tradicionais em disco.
- forensics-ir№ 049
Antiforense
Técnicas utilizadas por atacantes ou atores preocupados com privacidade para dificultar, atrasar ou frustrar investigações forenses digitais.
- defense-ops№ 265
Cyber Kill Chain
Modelo em sete fases da Lockheed Martin que descreve como uma intrusão direcionada evolui do reconhecimento até as ações sobre os objetivos.
● Veja também
- № 397Execução (Tática MITRE)
- № 817Persistência
- № 616Living off the Land
- № 632LOLBin / LOLBAS
- № 332Injecao de DLL
- № 862Injecao de processos
- № 045Bypass de AMSI
- № 055Allowlisting de Aplicacoes (Whitelisting)