# AN1211 — Analytic 1211 ## Descrição Detecta modificação ou substituição de executáveis de serviços Windows devido a permissões fracas em arquivos ou diretórios. A telemetria inclui eventos de escrita de arquivos em caminhos de binários de serviços, modificações inesperadas de executáveis associados a serviços registrados e execução subsequente de binários maliciosos sob permissões elevadas. Essa análise é crítica para detectar escalada de privilégios por substituição de binários de serviços, uma técnica comum em movimentação lateral pós-comprometimento. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1574.010-services-file-permissions-weakness|T1574.010 — Services File Permissions Weakness]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1543.003-windows-service|T1543.003 — Windows Service]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] --- *Fonte: [MITRE ATT&CK — AN1211](https://attack.mitre.org/detectionstrategies/DET0436#AN1211)*