# AN1575 — Analytic 1575 ## Descrição Este analítico detecta criação ou modificação de serviços Windows por linha de comando ou API via `sc.exe`, `powershell.exe`, `services.exe` ou `ChangeServiceConfig`, identificando criação de serviços de inicialização automática via alterações de registro, criação de arquivos em `System32\services`, e árvores anômalas de processo pai-filho que desviam do padrão de inicialização legítima de serviços. A telemetria combina eventos do Windows Event Log (ID 7045 — novo serviço instalado, ID 4697 — serviço instalado via auditoria), logs de auditoria de registro e eventos de EDR para execução de processo e criação de arquivo em diretórios do sistema. A relevância é alta pois instalação de serviços maliciosos é uma das técnicas de persistência mais utilizadas por ransomware e APTs no Windows, garantindo execução automática a cada reinicialização do sistema. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1543-003-windows-service|T1543.003 — Create or Modify System Process: Windows Service]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1569-002-service-execution|T1569.002 — System Services: Service Execution]] - [[t1059-001-powershell|T1059.001 — PowerShell]] --- *Fonte: [MITRE ATT&CK — AN1575](https://attack.mitre.org/detectionstrategies/DET0571#AN1575)*