# AN0323 — Analytic 0323 ## Descrição Detecta abuso do modo de segurança do Windows por meio de modificações no BCD (Boot Configuration Data) usando utilitários como `bcdedit.exe` e `bootcfg.exe`, correlacionadas com edições de chaves de registro sob `SafeBoot`. A telemetria principal inclui logs de criação e modificação de configurações de boot, alterações no registro e atividade de processos suspeita no contexto de inicialização do sistema. Esse padrão é relevante para a detecção porque ransomware moderno frequentemente abusa do modo de segurança para desativar soluções de segurança e garantir persistência durante o ciclo de reinicialização. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] - [[t1112-modify-registry|T1112 — Modify Registry]] --- *Fonte: [MITRE ATT&CK — AN0323](https://attack.mitre.org/detectionstrategies/DET0116#AN0323)*