Intermediário Sistema e Host Atualizado em 25 de jun. de 2025

Antivirus e EDR — assinaturas, heurística, comportamento e evasão

Antivírus (AV) e Endpoint Detection & Response (EDR) são camadas de defesa no host. Entender como funcionam — e onde falham — permite configurá-los melhor e detectar quando estão sendo contornados.

Antivírus clássico — detecção por assinatura

O AV tradicional mantém um banco de hashes e padrões de bytes de malwares conhecidos:

Processo de detecção:
  1. Arquivo gravado no disco
  2. AV calcula o hash (MD5/SHA-256)
  3. Compara com o banco de assinaturas
  4. Match → quarentena ou exclusão

Limitação:
  Qualquer modificação no arquivo muda o hash
  Um único byte alterado = novo hash = evasão

Heurística — comportamento estático

Analisa o código do arquivo sem executá-lo, procurando padrões suspeitos:

Indicadores heurísticos:
  - Strings codificadas em Base64 no executável
  - Import de APIs suspeitas: VirtualAlloc, WriteProcessMemory
  - Seções executáveis com alta entropia (código comprimido/cifrado)
  - Certificado digital ausente ou inválido
  - Empacotamento com UPX ou packer desconhecido

EDR — detecção comportamental em runtime

EDR monitora o comportamento do processo durante a execução:

Telemetria capturada pelo EDR:
  - System calls: CreateRemoteThread, OpenProcess, NtAllocateVirtualMemory
  - Conexões de rede: destino, porta, protocolo
  - Modificações de registro (Run Keys, serviços)
  - Criação e modificação de arquivos
  - Injeção em outros processos
  - Acesso à memória de processos protegidos (ex: LSASS)

Exemplo de regra comportamental:
  Word.exe → spawna PowerShell → PowerShell faz download de URL
  → ALERTA: macro maliciosa (padrão de ataque real)

Técnicas de evasão (contexto defensivo)

Entender evasão ajuda a configurar melhor as defesas:

Evasão de assinatura

- Ofuscação de código (variáveis com nomes aleatórios, strings cifradas)
- Packer customizado: comprime e cifra o payload, decifra em memória
- Living off the Land (LOLBins): usar binários legítimos do SO
  Exemplos: certutil.exe, mshta.exe, regsvr32.exe, rundll32.exe

Evasão de EDR

- Process hollowing: cria processo legítimo suspenso, substitui memória
- Direct syscalls: bypassar hooks do EDR chamando syscalls diretamente
- AMSI bypass: corromper o buffer de scan do Antimalware Scan Interface
- Unhooking: restaurar o código original das DLLs monitoradas pelo EDR

Defesa: EDR moderno usa kernel callbacks e ETW (Event Tracing for Windows) que são mais difíceis de contornar do que hooks em user-mode.

Como configurar melhor o AV/EDR

1. Habilitar proteção em tempo real — nunca desativar para "performance"
2. Atualizar assinaturas automaticamente — a cada hora, não só uma vez por dia
3. Habilitar AMSI integration — escaneia scripts PowerShell, VBS, JS
4. Configurar alertas para eventos de alto risco:
   - Acesso ao LSASS
   - PowerShell encoded commands (-EncodedCommand)
   - Criação de processos filho por Office/PDF readers
5. Integrar EDR ao SIEM para correlação com outros eventos

EDR vs AV: diferença prática

AV:
  - Detecta ameaças conhecidas por hash/assinatura
  - Resposta: quarentena ou deleção automática
  - Visibilidade limitada ao disco

EDR:
  - Detecta comportamento anômalo em runtime
  - Resposta: isolamento do endpoint, kill de processo, forense remota
  - Visibilidade: disco, memória, rede, registro, processos
  - Retém telemetria histórica para investigação retroativa

AV protege contra o óbvio. EDR é necessário para ameaças avançadas.