# AN0045 — Analytic 0045 ## Descrição Detecta execuções de comandos incomuns e modificações de serviços que indicam autopatch ou desabilitação de serviços vulneráveis após comprometimento, monitorando comandos de parada de serviço, encerramento suspeito de processos e execução de binários ou scripts associados a ferramentas de patch ou gerenciamento de serviço fora de contextos administrativos esperados. A telemetria inclui logs de eventos de serviço do Windows (Event ID 7035, 7036), execução de sc.exe ou PowerShell com verbos de parada/desativação de serviço e correlação com acesso privilegiado incomum. Esse analítico detecta a técnica de "fechar a porta após entrar", onde adversários desabilitam serviços vulneráveis para impedir que outros atores comprometam o mesmo vetor de acesso. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1489-service-stop|T1489 — Service Stop]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] --- *Fonte: [MITRE ATT&CK — AN0045](https://attack.mitre.org/detectionstrategies/DET0015#AN0045)*