# AN0764 — Analytic 0764 ## Descrição Esta analítica detecta persistência via registro do Windows correlacionando modificações de chaves Run/RunOnce com relacionamentos anômalos de processos pai-filho e execução fora do padrão no logon do usuário ou na inicialização do sistema. A telemetria inclui Sysmon Event ID 13 (modificação de valor de registro), Event ID 1 (criação de processo) e logs de auditoria do Windows para modificações de registro (Event ID 4657). A detecção é importante porque as chaves Run/RunOnce são um dos mecanismos de persistência mais explorados no Windows, utilizados por uma ampla gama de malware incluindo RATs, infostealers e ransomware. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] --- *Fonte: [MITRE ATT&CK — AN0764](https://attack.mitre.org/detectionstrategies/DET0274#AN0764)*