dc0014-windows-registry-key-modification

# DC0014 - Windows Registry Key Modification > [!info] Monitora alterações em chaves e valores do registro do Windows — banco de dados central de configurações do sistema. Fonte de evidência primária para investigações de persistência, evasão de defesas e escalonamento de privilégios. ## Descrição Windows Registry Key Modification rastreia alterações em chaves e valores do registro do Windows, que serve como banco de dados central de configurações do sistema operacional e aplicações. Adversários modificam o registro para estabelecer persistência em chaves de autostart, desabilitar controles de segurança, alterar configurações de UAC, modificar políticas de execução de scripts e armazenar payloads codificados. É uma das fontes de evidência mais ricas para investigações de persistência e evasão. ## Fonte de Dados Parent: [[ds0024-windows-registry|DS0024 - Windows Registry]] ## Pipeline de Detecção ```mermaid graph TB A["🖥️ Sysmon Event ID 13 RegistryValueSet"] --> B["🗝️ Chave Alvo Identificada"] B --> C{"📍 Chave Sensível?"} C -->|Run/RunOnce| D["🚨 Alerta: Autostart Persistência"] C -->|Services/Drivers| E["🚨 Alerta: Serviço Malicioso"] C -->|Defender/UAC| F["🚨 Alerta: Evasão de Defesa"] C -->|Não Sensível| G["📋 Log Retido Para Análise"] classDef alert fill:#e74c3c,color:#ecf0f1 classDef ok fill:#2c3e50,color:#ecf0f1 classDef check fill:#3498db,color:#ecf0f1 class D,E,F alert class G ok class A,B,C check ``` ## O Que Monitorar - Sysmon Event ID 13 (RegistryValueSet) e 14 (RegistryKeyAndValueRename) - Windows Event ID 4657 (Registry value modified) com SACL em chaves críticas - Modificações em `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run` - Modificações em `HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run` - Alterações em configurações de UAC: `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\UAC` - Modificações em `HKLM\SYSTEM\CurrentControlSet\Services` (persistência por serviço) - Alterações em chaves de política do PowerShell (`HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell`) ## Técnicas Detectadas | Técnica | ID | Como Detectar | |---------|-----|---------------| | Modify Registry | [[t1112-modify-registry\|T1112]] | Alterações em chaves de sistema fora de períodos de manutenção | | Registry Run Keys | [[t1547-boot-or-logon-autostart-execution\|T1547.001]] | Valores adicionados a chaves Run/RunOnce | | Impair Defenses | [[t1562-impair-defenses\|T1562]] | Desabilitação do Windows Defender via registro | | Hijack Execution Flow | [[t1574-hijack-execution-flow\|T1574]] | Modificações em COM objects ou App Paths | | Subvert Trust Controls | [[t1553-subvert-trust-controls\|T1553]] | Alterações em chaves de assinatura de código | ## Implementação **Sysmon (recomendado para visibilidade ampla):** ```xml <RuleGroup name="RegistryEvent" groupRelation="or"> <RegistryEvent onmatch="include"> <TargetObject condition="contains">CurrentVersion\Run</TargetObject> <TargetObject condition="contains">CurrentControlSet\Services</TargetObject> </RegistryEvent> </RuleGroup> ``` **Windows Audit Policy:** Habilitar `Audit Registry` em Advanced Audit Policy e configurar SACLs nas chaves críticas via `regedit.exe > Security > Audit`. **Ferramentas:** Sysmon, Regshot, Process Monitor, Microsoft Defender for Endpoint, CrowdStrike Falcon, Elastic Endpoint. ## Consultas KQL — Microsoft Sentinel / Defender ### Modificação de Chaves de Autostart (Persistência) ```kql // DC0014 - Modificação de chaves Run/RunOnce — persistência adversarial DeviceRegistryEvents | where Timestamp > ago(1d) | where ActionType == "RegistryValueSet" | where RegistryKey has_any ( @"SOFTWARE\Microsoft\Windows\CurrentVersion\Run", @"SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce", @"SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run", @"SYSTEM\CurrentControlSet\Services" ) | where InitiatingProcessFileName !in~ ( "msiexec.exe", "setup.exe", "install.exe", "MsMpEng.exe", "svchost.exe" ) | project Timestamp, DeviceName, RegistryKey, RegistryValueName, RegistryValueData, InitiatingProcessFileName, InitiatingProcessCommandLine, InitiatingProcessAccountName | order by Timestamp desc ``` ### Desabilitação do Windows Defender via Registro ```kql // DC0014 - Tentativa de desabilitar o Defender ou UAC via registro DeviceRegistryEvents | where Timestamp > ago(7d) | where ActionType == "RegistryValueSet" | where ( // Desabilitar Windows Defender (RegistryKey has @"SOFTWARE\Policies\Microsoft\Windows Defender" and RegistryValueName =~ "DisableAntiSpyware") // Desabilitar UAC or (RegistryKey has @"SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" and RegistryValueName =~ "EnableLUA" and RegistryValueData =~ "0") // Desabilitar Firewall or (RegistryKey has @"SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy" and RegistryValueName =~ "EnableFirewall" and RegistryValueData =~ "0") ) | project Timestamp, DeviceName, RegistryKey, RegistryValueName, RegistryValueData, InitiatingProcessFileName, InitiatingProcessAccountName | order by Timestamp desc ``` ## Contexto LATAM > [!latam] Relevância Regional > **Modificação de registro é técnica central de ransomware e RATs bancários no Brasil.** Grupos como **Grandoreiro** e **Casbaneiro** (famílias de trojans bancários LATAM) persistem extensivamente via chaves `Run` e `RunOnce` do registro, e também desabilitam o Windows Defender modificando chaves de política. Em ataques a empresas brasileiras documentados em 2024, o **BlackBasta** modificou chaves de serviços para escalar privilégios antes do deployment de ransomware. SOCs brasileiros devem monitorar especialmente modificações em chaves `HKCU\Run` (comuns em ambientes com usuários sem privilégio admin) e alterações de políticas de PowerShell — vetor crescente em organizações do setor público. ## Referências - [MITRE ATT&CK - DS0024 Windows Registry](https://attack.mitre.org/datasources/DS0024/) - [Sysmon Event ID 13 - Registry Value Set](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon) - [Grandoreiro - ESET Research LATAM](https://www.welivesecurity.com/la-es/) - [Windows Registry Auditing - Microsoft](https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-registry)