# AN0176 — Analytic 0176 ## Descrição Detecta caminhos de serviço ou atalho sem aspas que contêm espaços e permitem interceptação do caminho por executáveis em diretórios pai, observando configurações de serviços no registro com caminhos sem aspas, criação de executáveis nos diretórios ancestrais desses caminhos e execução subsequente de processos a partir de locais inesperados. A telemetria inclui consultas a chaves de registro de serviços do Windows (HKLM\SYSTEM\CurrentControlSet\Services), eventos Sysmon de criação de arquivos em diretórios como `C:\Program Files` e linhagem de processos iniciados por `services.exe` a partir de locais não canônicos. Essa analítica detecta uma técnica clássica de escalada de privilégios no Windows onde o SCM executa um executável malicioso colocado em um diretório intercedente ao tentar iniciar um serviço com caminho não cotado. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1134-access-token-manipulation|T1134 — Access Token Manipulation]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] --- *Fonte: [MITRE ATT&CK — AN0176](https://attack.mitre.org/detectionstrategies/DET0064#AN0176)*