# AN0694 — Analytic 0694 ## Descrição Detecta leituras de registro por linha de comando ou API visando caminhos sensíveis como HKLM ou HKCU com filtros de palavras-chave como `password`, `cred` ou `logon`, tipicamente realizadas por Reg.exe, PowerShell, binários customizados ou ferramentas ofensivas como Cobalt Strike. A telemetria inclui logs de auditoria do registro do Windows (Event ID 4663), Sysmon (Event ID 13) e linha de comando de processo que identificam consultas de registro com padrões de busca de credenciais correlacionados com a ancestralidade do processo. Essa analítica é importante pois a descoberta de credenciais no registro é frequentemente o primeiro passo em movimentação lateral, com ferramentas como LaZagne e scripts de PowerShell buscando credenciais salvas em locais de configuração conhecidos. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1012-query-registry|T1012 — Query Registry]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN0694](https://attack.mitre.org/detectionstrategies/DET0250#AN0694)*