Análise Forense - Como Funciona o EDR-Freeze e Seus Vestígios

BR Defense Center (By River de Morais e Silva)
ataque

O EDR-Freeze é uma ferramenta de prova de conceito que incapacita motores de detecção e resposta em endpoints (EDR) ou antivírus, utilizando componentes legítimos do Windows, como o WerFaultSecure.exe e a API MiniDumpWriteDump. Ao ser executado, o EDR-Freeze_1.0.exe se disfarça como um manipulador de falhas, suspendendo temporariamente processos de segurança, como o MsMpEng.exe (serviço do Windows Defender), sem acionar alertas. Durante a criação de dumps de falha, o EDR-Freeze consegue pausar a coleta de telemetria, mantendo o estado do processo intacto. Após um intervalo configurável, os processos suspensos são retomados, permitindo que os atacantes operem sem serem detectados. Para a investigação, é crucial preservar vestígios do arquivo temporário gerado, t.txt, e analisar a tabela de endereços de importação do WerFaultSecure.exe. A implementação de regras YARA pode ajudar a identificar atividades do EDR-Freeze, destacando a necessidade de análises forenses de memória e caça comportamental em fluxos de resposta a incidentes. Essa técnica demonstra como componentes confiáveis do sistema operacional podem ser explorados para desativar controles de segurança, exigindo uma resposta proativa dos profissionais de cibersegurança.

Fonte: https://cyberpress.org/forensic-breakdown-how-edr-freeze-works-and-what-it-leaves-behind/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
13/10/2025 • Risco: ALTO
ATAQUE

Análise Forense - Como Funciona o EDR-Freeze e Seus Vestígios

RESUMO EXECUTIVO
O EDR-Freeze representa uma nova técnica de ataque que utiliza componentes confiáveis do Windows para desativar a segurança de endpoints. Isso pode resultar em sérios riscos financeiros e de conformidade, exigindo que as organizações adotem medidas proativas para mitigar esses riscos.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras devido a vazamentos de dados e interrupções operacionais.
Operacional
Suspensão temporária de processos de segurança sem detecção.
Setores vulneráveis
['Tecnologia da Informação', 'Financeiro', 'Saúde']

📊 INDICADORES CHAVE

Três threads do MsMpEng.exe foram suspensas durante o ataque. Indicador
O arquivo temporário t.txt foi criado e deletado após a execução. Contexto BR
Os timestamps de suspensão foram registrados entre 08:35:08 e 08:35:41. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar logs de eventos e atividades suspeitas relacionadas ao MsMpEng.exe.
2 Implementar regras YARA para detectar atividades do EDR-Freeze.
3 Monitorar continuamente a integridade dos processos de segurança e realizar análises forenses de memória.

🇧🇷 RELEVÂNCIA BRASIL

Os CISOs devem se preocupar com a capacidade dos atacantes de desativar controles de segurança, o que pode levar a vazamentos de dados e compromissos de segurança.

⚖️ COMPLIANCE

Implicações para a LGPD, especialmente em relação à proteção de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).