# AN0781 — Analytic 0781 ## Descrição Esta analítica detecta uma cadeia de comportamentos envolvendo modificações anômalas de registro via CLI, PowerShell, WMI ou chamadas diretas de API, especialmente visando chaves de persistência, escalada de privilégios ou evasão de defesa como Notify/Userinit/Startup ou desabilitar SafeDllSearchMode, potencialmente seguidas de reinicialização de serviço ou execução de processo. A telemetria inclui Sysmon Event ID 13 (modificação de valor de registro), logs de auditoria do Windows (Event ID 4657) e logs de execução do PowerShell (Event ID 4104). A detecção é fundamental para identificar modificações sutis de registro que permitem ao malware contornar mecanismos de autenticação, carregar DLLs maliciosas ou garantir persistência silenciosa. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1059-001-powershell|T1059.001 — PowerShell]] --- *Fonte: [MITRE ATT&CK — AN0781](https://attack.mitre.org/detectionstrategies/DET0280#AN0781)*