# AN0170 — Analytic 0170 ## Descrição Detecta modificações em chaves de registro usadas para handlers padrão de tipos de arquivo, seguidas de execução anômala de processos quando o usuário abre um arquivo, incluindo rastreamento de alterações sob HKCU e HKCR para mapeamentos de extensão de arquivo e correlação com novos caminhos de handler suspeitos que iniciam processos incomuns (ex.: PowerShell, cmd, wscript). A telemetria inclui eventos Sysmon de modificação de registro (EventID 13), criação de chaves (EventID 12) e linhagem de processos filhos iniciados por aplicações de usuário após abertura de arquivos. Essa analítica é valiosa porque adversários utilizam o sequestro de handlers de arquivo como mecanismo de persistência e execução que sobrevive a reinicializações e é ativado por ações legítimas do usuário, tornando a detecção mais desafiadora. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0170](https://attack.mitre.org/detectionstrategies/DET0061#AN0170)*