SOC Prime Bias: Alto

30 Mar 2026 13:46 UTC

Abuso de Ferramentas Legítimas de Baixo Nível para Ajudar Ransomware a Evitar Detecção por Antivírus

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Abuso de Ferramentas Legítimas de Baixo Nível para Ajudar Ransomware a Evitar Detecção por Antivírus
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

O artigo explica como operadores de ransomware abusam de utilitários de baixo nível legítimos, como Process Hacker, IOBit Unlocker, PowerRun e ferramentas semelhantes, para enfraquecer o antivírus e a proteção de endpoint. Ao usarem indevidamente esses binários assinados, os atacantes podem obter privilégios de SYSTEM ou até de kernel, roubar credenciais e preparar o ambiente para a implantação de ransomware. O artigo destaca como a neutralização de AV evoluiu de scripts básicos para conjuntos de capacidades integradas dentro das ofertas modernas de Ransomware-como-um-Serviço. Também faz referência a grupos de ransomware do mundo real que adotaram esses métodos.

Investigação

A investigação descreve um padrão de intrusão em duas etapas no qual os adversários primeiro usam ferramentas de baixo nível para elevar privilégios e evadir antivírus, depois passam para roubo de credenciais, adulteração de kernel e execução da carga útil de ransomware. A atividade das ferramentas é mapeada para técnicas do MITRE ATT&CK, incluindo T1548.002, T1562.001 e T1003.001. Exemplos de casos conectam essas utilidades a operações de ransomware, como LockBit 3.0, Phobos, MedusaLocker e outras.

Mitigação

Mitigações recomendadas incluem a aplicação de listas de permissões de aplicativos, observando terminações de processos em larga escala, auditando alterações no registro que afetam as configurações de antivírus e limitando a execução de utilitários administrativos apenas a contas aprovadas. Plataformas de proteção de endpoint também devem fortalecer os controles de autoproteção para resistir ao encerramento forçado de processos e serviços de segurança.

Resposta

Quando esse comportamento for detectado, as organizações devem alertar sobre a terminação suspeita de processos de AV ou EDR, isolar o host impactado, preservar evidências forenses de alterações no registro e arquivos, e investigar qualquer acesso ao LSASS relacionado a roubo de credenciais. A resposta a incidentes deve seguir a cadeia de eliminação observada rapidamente o suficiente para conter a intrusão antes que a criptografia de ransomware comece.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Verificação Pré‑voo de Telemetria & Ponto de Referência deve ter passado.

  • Narrativa de Ataque & Comandos:

    O adversário obteve direitos administrativos no host da vítima e deseja neutralizar a proteção de endpoint antes de implantar cargas úteis de ransomware. Usando o utilitário legítimo HRSword.exe, eles emitem um comando que interrompe o serviço de antivírus (avservice) e desativa seu reinício automático, garantindo que o defensor não possa recuperar o serviço durante a janela de ataque. O comando é executado diretamente em um console do PowerShell para gerar um evento claro de criação de processo do Sysmon que corresponde à regra de detecção.

  • Script de Teste de Regressão:

    <# 
    Simulação do uso do HRSword.exe para parar um serviço de AV e desativar seu reinício.
    Este script deve ser executado com privilégios elevados (Administrador).
    #>
    
    # Variáveis
    $hrswordPath = "$env:ProgramFilesHRSwordHRSword.exe"
    $serviceName = "avservice"
    
    # Garantir que HRSword.exe exista (criar um mock se não)
    if (-Not (Test-Path $hrswordPath)) {
        Write-Host "Criando mock HRSword.exe para simulação..."
        # Criar um executável dummy (uma cópia do cmd.exe) apenas para fins de registro
        Copy-Item "$env:windirSystem32cmd.exe" $hrswordPath -Force
    }
    
    # Executar a linha de comando exata que a regra Sigma analisa
    $command = "& `"$hrswordPath`" /service stop $serviceName /disable"
    Write-Host "Executando: $command"
    Invoke-Expression $command
    
    # Opcional: Registrar um evento personalizado para indicar a conclusão (ajuda a verificar de ponta a ponta)
    Write-EventLog -LogName Application -Source "HRSwordSimulation" -EventId 3000 -EntryType Information -Message "Simulação de parada do serviço HRSword concluída."
  • Comandos de Limpeza:

    <#
    Restaurar o serviço de AV ao estado original e remover o executável mock.
    #>
    
    # Reiniciar o serviço de AV (se existir)
    $serviceName = "avservice"
    if (Get-Service -Name $serviceName -ErrorAction SilentlyContinue) {
        Write-Host "Reiniciando o serviço $serviceName ..."
        Start-Service -Name $serviceName -ErrorAction SilentlyContinue
    }
    
    # Remover o mock HRSword.exe (se foi criado)
    $hrswordPath = "$env:ProgramFilesHRSwordHRSword.exe"
    if (Test-Path $hrswordPath) {
        Write-Host "Removendo mock HRSword.exe ..."
        Remove-Item $hrswordPath -Force
    }
    
    # Limpar a entrada de log de evento personalizado
    Get-EventLog -LogName Application -Source "HRSwordSimulation" -After (Get-Date).AddMinutes(-10) | Remove-EventLog