# AN0778 — Analytic 0778 ## Descrição Esta analítica monitora criação ou modificação anômala de serviços do Windows via sc.exe, PowerShell ou chamadas de API que carregam executáveis não padrão, correlacionando mudanças no registro de serviços com eventos de criação de serviço e execução de processo. A telemetria inclui Sysmon Event ID 13 (modificação de registro em HKLM\System\CurrentControlSet\Services), Windows Event ID 7045 (novo serviço instalado) e logs de auditoria de segurança do Windows para criação de serviços. A detecção é essencial porque serviços Windows são um mecanismo de persistência privilegiado que garante execução como SYSTEM, sendo amplamente abusado por APTs e ransomware para manter acesso após reinicializações. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1569-system-services|T1569 — System Services]] - [[t1059-001-powershell|T1059.001 — PowerShell]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN0778](https://attack.mitre.org/detectionstrategies/DET0279#AN0778)*