Persistência
O que é Persistência?
PersistênciaTática MITRE ATT&CK (TA0003) que reúne técnicas usadas para manter acesso ao sistema apesar de reinicializações, mudanças de credenciais e resposta a incidentes.
Persistência (tática MITRE ATT&CK TA0003) agrupa as técnicas que permitem ao adversário manter o seu foothold mesmo após reinícios, mudanças de palavras-passe ou esforços de limpeza. Implementações comuns: chaves de registo de autostart, tarefas agendadas, serviços Windows, subscrições de eventos WMI, jobs BITS, login items no macOS, cron no Linux, extensões de browser maliciosas, tokens OAuth e contas com backdoor no Active Directory. Os atacantes costumam combinar vários mecanismos para o caso de algum ser removido. Os defensores detetam persistência através de logs de criação de processos, inventários de autoruns (Sysinternals Autoruns, EDR), regras Sigma e caça a tarefas, serviços ou fornecedores LSA anómalos, neutralizando-a normalmente com reimaging completo dos hosts comprometidos.
● Exemplos
- 01
Backdoor instalado como serviço Windows com nome GUID aleatório.
- 02
Aplicação OAuth maliciosa com acesso permanente a uma caixa de Microsoft 365.
● Perguntas frequentes
O que é Persistência?
Tática MITRE ATT&CK (TA0003) que reúne técnicas usadas para manter acesso ao sistema apesar de reinicializações, mudanças de credenciais e resposta a incidentes. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Persistência?
Tática MITRE ATT&CK (TA0003) que reúne técnicas usadas para manter acesso ao sistema apesar de reinicializações, mudanças de credenciais e resposta a incidentes.
Como funciona Persistência?
Persistência (tática MITRE ATT&CK TA0003) agrupa as técnicas que permitem ao adversário manter o seu foothold mesmo após reinícios, mudanças de palavras-passe ou esforços de limpeza. Implementações comuns: chaves de registo de autostart, tarefas agendadas, serviços Windows, subscrições de eventos WMI, jobs BITS, login items no macOS, cron no Linux, extensões de browser maliciosas, tokens OAuth e contas com backdoor no Active Directory. Os atacantes costumam combinar vários mecanismos para o caso de algum ser removido. Os defensores detetam persistência através de logs de criação de processos, inventários de autoruns (Sysinternals Autoruns, EDR), regras Sigma e caça a tarefas, serviços ou fornecedores LSA anómalos, neutralizando-a normalmente com reimaging completo dos hosts comprometidos.
Como se defender contra Persistência?
As defesas contra Persistência costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Persistência?
Nomes alternativos comuns: Persistência de acesso, TA0003.
● Termos relacionados
- compliance№ 687
MITRE ATT&CK
Base de conhecimento global e aberta sobre táticas e técnicas de adversários observadas em ataques reais, mantida pela MITRE.
- malware№ 080
Backdoor
Mecanismo encoberto que contorna a autenticação ou os controlos de acesso normais para conceder ao atacante acesso futuro ao sistema.
- defense-ops№ 397
Execução (Tática MITRE)
Tática MITRE ATT&CK (TA0002) que reúne as técnicas usadas para correr código controlado pelo adversário num sistema local ou remoto.
- defense-ops№ 298
Evasão de Defesas
Tática MITRE ATT&CK (TA0005) que reúne técnicas usadas para evitar deteção, desativar ferramentas de segurança e ocultar a atividade do atacante no sistema alvo.
- defense-ops№ 265
Cyber Kill Chain
Modelo em sete fases da Lockheed Martin que descreve como uma intrusão direcionada evolui do reconhecimento até as ações sobre os objetivos.
- forensics-ir№ 524
Resposta a incidentes
Processo organizado para preparar, detetar, analisar, conter, erradicar e recuperar de incidentes de cibersegurança, capturando lições aprendidas.
● Veja também
- № 535Acesso Inicial
- № 447Golden Ticket