# AN1185 — Analytic 1185 ## Descrição Detecta execuções anômalas de serviços iniciadas via APIs do Service Control Manager, sc.exe, net.exe ou PsExec criando serviços temporários, observando services.exe gerando binários não padrão, mudanças de registro em chaves de serviço seguidas de execução rápida e conexões de rede de processos vinculados a serviços transitórios. A telemetria inclui eventos de segurança do Windows (Event IDs 7045, 4697 para instalação de serviço), logs do Sysmon (Event IDs 1, 12, 13) e correlação de linhagem de processos com atividade de registro e logs de serviço para construir sinais fortes de execução maliciosa via serviços. Serviços Windows transitórios criados por ferramentas de administração remota são um vetor central em ataques de movimentação lateral e execução de ransomware em redes corporativas. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1569-system-services|T1569 — System Services]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1185](https://attack.mitre.org/detectionstrategies/DET0421#AN1185)*