# AN1032 — Analytic 1032 ## Descrição Este analítico detecta persistência via chaves de execução do Registro do Windows, correlacionando criação ou modificação de chaves Run/Startup conhecidas com novos caminhos binários incomuns ou payloads baseados em script, incluindo detecção multi-evento de modificação de Registro seguida de execução de processo a partir de diretórios não padrão ou relações pai-filho anômalas. A telemetria utilizada inclui eventos de modificação de Registro (Sysmon EID 13) para chaves como `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run` e `HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run`, correlacionados com criação de processos subsequentes. Esta detecção é crítica porque Registry Run Keys são o mecanismo de persistência mais amplamente usado por malware Windows — desde keyloggers simples até frameworks APT sofisticados. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN1032](https://attack.mitre.org/detectionstrategies/DET0365#AN1032)*