# AN0609 — Analytic 0609 ## Descrição Este analítico detecta modificações incomuns em caminhos de binários de serviços, chaves de registro ou caminhos de carregamento de DLLs que resultam em fluxo de execução alternativo, observando modificações em chaves de registro, escritas de arquivos suspeitas em diretórios do sistema e processos carregando bibliotecas de caminhos anormais. A telemetria inclui eventos de modificação do registro (Sysmon Event ID 13/14) para chaves de serviços, logs de carregamento de módulos com verificação de caminho e assinatura (Sysmon Event ID 7) e alertas de integridade de serviços que comparam configurações contra uma baseline aprovada. Essa detecção é relevante porque a adulteração de configurações de serviços é uma técnica persistente e de escalada de privilégios amplamente utilizada, permitindo que adversários executem código malicioso com os privilégios do serviço comprometido. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0609](https://attack.mitre.org/detectionstrategies/DET0218#AN0609)*