# Reg > Tipo: **tool** · S0075 · [MITRE ATT&CK](https://attack.mitre.org/software/S0075) ## Descrição [[s0075-reg|Reg]] (reg.exe) é um utilitário de linha de comando nativo do Windows para interagir com o Registro do Windows. Administradores o utilizam para automatizar configurações, exportar/importar chaves de registro, modificar políticas de sistema e diagnosticar problemas de configuração sem abrir o Editor de Registro gráfico (regedit.exe). Em contexto ofensivo, [[s0075-reg|Reg]] é abusado por múltiplos grupos de ameaça para três objetivos principais: (1) **Credenciais** - consultar chaves que armazenam senhas salvas, como `HKLM\SOFTWARE\RealVNC`, `HKLM\SYSTEM\CurrentControlSet\Services\SNMP` e `HKCU\Software\SimonTatham\PuTTY\Sessions` (T1552.002); (2) **Persistência** - adicionar chaves em `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run` e similares para executar malware no boot; (3) **Evasão** - modificar configurações de segurança como desabilitar o Windows Defender via `HKLM\SOFTWARE\Policies\Microsoft\Windows Defender`. Grupos como [[g1017-volt-typhoon|Volt Typhoon]], [[g0010-turla|Turla]], [[g0047-gamaredon|Gamaredon Group]] e [[g0035-dragonfly|Dragonfly]] utilizam reg.exe extensivamente como LOLBin. A exportação de hives do SAM (`reg save HKLM\SAM sam.hive`) é uma técnica frequente para extração offline de hashes de credenciais sem acesso direto ao LSASS - contornando ferramentas que monitoram apenas o processo lsass.exe. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1552-002-credentials-in-registry|T1552.002 - Credentials in Registry]] - [[t1012-query-registry|T1012 - Query Registry]] - [[t1112-modify-registry|T1112 - Modify Registry]] ## Grupos que Usam - [[g0075-rancor|Rancor]] - [[g0049-oilrig|OilRig]] - [[g1034-daggerfly|Daggerfly]] - [[g0035-dragonfly|Dragonfly]] - [[g0093-gallium|GALLIUM]] - [[g0010-turla|Turla]] - [[g0047-gamaredon|Gamaredon Group]] - [[g1017-volt-typhoon|Volt Typhoon]] ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 1 (ProcessCreaté):** `reg.exe` com parâmetros `save` para hives SAM/SYSTEM/SECURITY - indica exportação de credenciais; parâmetros `add` em chaves de Run/RunOnce indica persistência - **Sysmon Event ID 13 (RegistryValueSet):** Modificações em chaves de segurança críticas via reg.exe - especialmente em chaves do Windows Defender, políticas de auditoria e Network Providers - **Windows Security Event ID 4657:** Modificação de chave de registro crítica por conta não esperada **Regras de detecção:** - Sigma: `proc_creation_win_reg_cred_dumping.yml` - detecta `reg save` de hives SAM/SYSTEM para extração de credenciais (SigmaHQ) - Sigma: `proc_creation_win_reg_defender_disabled.yml` - detecta modificação de chaves do Windows Defender via reg.exe - Correlação: `reg save HKLM\SAM` + `reg save HKLM\SYSTEM` + `reg save HKLM\SECURITY` em sequência é indicador claro de extração de credenciais ## Relevância LATAM/Brasil [[s0075-reg|Reg]] é onipresente em incidentes de segurança no Brasil por ser um LOLBin em todos os sistemas Windows. [[g1017-volt-typhoon|Volt Typhoon]] - APT com foco em infraestrutura crítica - utiliza reg.exe para modificar configurações de rede e manter acesso furtivo. [[g0047-gamaredon|Gamaredon Group]] (Rússia/Ucrânia) usa reg.exe para persistência em campanhas que podem atingir organizações com relacionamento geopolítico relevante. No contexto brasileiro, a exportação do SAM via reg.exe é frequentemente o primeiro indicador de tentativa de credential dumping detectado em investigações de ransomware - especialmente quando [[mimikatz|Mimikatz]] é bloqueado pelo EDR mas reg.exe não. ## Referências - [MITRE ATT&CK - S0075](https://attack.mitre.org/software/S0075)