# AN1527 — Analytic 1527 ## Descrição Este analítico detecta criação ou modificação de serviços Windows através de ferramentas de linha de comando como `sc.exe` e `powershell.exe`, alterações em chaves de registro sob `HKLM\System\CurrentControlSet\Services`, e execução de serviços sob contexto SYSTEM com caminhos de binários não assinados ou anômalos. A telemetria combina eventos do Windows Event Log (IDs 4697, 7045), logs de auditoria de registro e dados de EDR que rastreiam criação de processos e cadeias de herança pai-filho. A relevância é alta pois adversários frequentemente registram serviços maliciosos para persistência e escalada de privilégios, especialmente via instalação de drivers não assinados usando `CreateServiceW`. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1543-003-windows-service|T1543.003 — Create or Modify System Process: Windows Service]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1569-002-service-execution|T1569.002 — System Services: Service Execution]] --- *Fonte: [MITRE ATT&CK — AN1527](https://attack.mitre.org/detectionstrategies/DET0552#AN1527)*