# AN0094 — Analytic 0094 ## Descrição Detecta substituição ou adulteração de binários de acessibilidade do Windows (utilman.exe, sethc.exe, osk.exe) e modificações anômalas em chaves de registro IFEO (Image File Execution Options) usadas para redirecionar programas de acessibilidade. A telemetria inclui logs de integridade de arquivo do Sysmon (Event ID 11), monitoramento de registro (Event ID 13), e correlação da execução de cmd.exe ou outros binários suspeitos disparados pela tela de login com contexto SYSTEM. Este analítico é importante porque a técnica de "Sticky Keys backdoor" é frequentemente utilizada para obter acesso pré-autenticado ao sistema e foi observada em ataques de ransomware e espionagem. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1136-create-account|T1136 — Create Account]] --- *Fonte: [MITRE ATT&CK — AN0094](https://attack.mitre.org/detectionstrategies/DET0033#AN0094)*