dc0015-windows-registry-key-creation

# DC0015 - Windows Registry Key Creation > [!info] Monitora a criação de novas estruturas de chaves no registro do Windows — distingue-se da modificação por capturar adições inteiramente novas. Forte indicador de instalação de serviços maliciosos, COM hijacks e configurações de malware. ## Descrição Windows Registry Key Creation monitora a criação de novas chaves de registro no Windows, distinguindo-se da modificação por capturar o momento em que estruturas inteiramente novas são adicionadas ao registro. Adversários criam novas chaves para registrar serviços maliciosos, instalar COM hijacks, adicionar entradas de autostart e armazenar configurações de malware. A criação de chaves em caminhos sensíveis fora de instalações legítimas é forte indicador de atividade adversarial. ## Fonte de Dados Parent: [[ds0024-windows-registry|DS0024 - Windows Registry]] ## Pipeline de Detecção ```mermaid graph TB A["🖥️ Sysmon Event ID 12 RegistryObjectAddAndDelete"] --> B["🗝️ Nova Chave Criada"] B --> C{"📍 Localização Sensível?"} C -->|HKCU\Classes\CLSID| D["🚨 COM Hijacking Possível"] C -->|Services\NovoServico| E["🚨 Serviço Malicioso Registrado"] C -->|IFEO\processo.exe| F["🚨 Debug Hijack Detectado"] C -->|Outros| G["📋 Avaliar Contexto"] classDef alert fill:#e74c3c,color:#ecf0f1 classDef warn fill:#e67e22,color:#ecf0f1 classDef ok fill:#2c3e50,color:#ecf0f1 class D,E,F alert class G ok class A,B,C ok ``` ## O Que Monitorar - Sysmon Event ID 12 (RegistryObjectAddAndDelete) - criação de chaves - Criação de chaves sob `HKLM\SYSTEM\CurrentControlSet\Services` (novos serviços) - Criação de chaves em `HKCU\SOFTWARE\Classes\CLSID` (COM hijacking) - Novas chaves em `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options` (IFEO - debug hijack) - Criação de chaves sob `HKLM\SOFTWARE\Wow6432Node` com nomes imitando software legítimo - Chaves com nomes que utilizam caracteres Únicode invisíveis ou de aparência similar - Criação de chaves durante execução de scripts ou processos suspeitos ## Técnicas Detectadas | Técnica | ID | Como Detectar | |---------|-----|---------------| | Registry Run Keys | [[t1547-boot-or-logon-autostart-execution\|T1547.001]] | Nova chave Run/RunOnce com executable path suspeito | | Windows Service | [[t1543-create-or-modify-system-process\|T1543.003]] | Nova chave em Services com ImagePath para binário desconhecido | | COM Hijacking | [[t1546-event-triggered-execution\|T1546.015]] | Nova CLSID em HKCU\Classes sobrescrevendo HKLM | | Modify Registry | [[t1112-modify-registry\|T1112]] | Criação de estruturas de dados de configuração de malware | ## Implementação **Sysmon Event ID 12** (RegistryObjectAddAndDelete) captura tanto criação quanto deleção de chaves. **Monitorar via reg.exe:** ``` # Alertar quando reg.exe adiciona chaves em: HKLM\SYSTEM\CurrentControlSet\Services\ HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ ``` **Baseline de registro:** Utilizar Regshot ou snapshots regulares do registro para comparar estados e identificar chaves inesperadas após incidentes. **Ferramentas:** Sysmon, Regshot, Process Monitor, Microsoft Defender for Endpoint, Autoruns (Sysinternals), CrowdStrike Falcon. ## Consultas KQL — Microsoft Sentinel / Defender ### Criação de Nova Chave de Serviço (Possível Malware) ```kql // DC0015 - Nova chave de serviço criada por processo não administrativo DeviceRegistryEvents | where Timestamp > ago(1d) | where ActionType == "RegistryKeyCreated" | where RegistryKey has @"SYSTEM\CurrentControlSet\Services\" | where InitiatingProcessAccountSid !startswith "S-1-5-18" // Não SYSTEM | where InitiatingProcessFileName !in~ ( "msiexec.exe", "TrustedInstaller.exe", "wusa.exe", "setup.exe", "install.exe" ) | project Timestamp, DeviceName, RegistryKey, InitiatingProcessFileName, InitiatingProcessCommandLine, InitiatingProcessAccountName | order by Timestamp desc ``` ### COM Hijacking - Nova CLSID em HKCU ```kql // DC0015 - Criação de nova CLSID em HKCU (possível COM hijacking) DeviceRegistryEvents | where Timestamp > ago(7d) | where ActionType == "RegistryKeyCreated" | where RegistryKey matches regex @"HKEY_USERS\\[^\\]+\\Software\\Classes\\CLSID\\\{" | where InitiatingProcessFileName !in~ ( "msiexec.exe", "regsvr32.exe", "dllhost.exe" ) | extend UserSID = extract(@"HKEY_USERS\\([^\\]+)\\", 1, RegistryKey), CLSID = extract(@"CLSID\\(\{[^}]+\})", 1, RegistryKey) | project Timestamp, DeviceName, CLSID, RegistryKey, InitiatingProcessFileName, InitiatingProcessCommandLine, UserSID | order by Timestamp desc ``` ## Contexto LATAM > [!latam] Relevância Regional > **COM hijacking e IFEO são técnicas crescentes em ataques APT na América Latina.** Grupos que atacam o Brasil como **Blind Eagle** (APT-C-36) utilizam chaves IFEO e Run para persistência em endpoints governamentais e empresariais colombianos e brasileiros. A criação de chaves de serviço maliciosas é técnica central de **banking trojans brasileiros** como Bizarro e Javali — que registram serviços com nomes imitando componentes do sistema. O monitoramento do **Sysmon Event ID 12** é frequentemente ausente em ambientes SMB e governamentais da região, criando lacuna de visibilidade explorada ativamente por grupos regionais. ## Referências - [MITRE ATT&CK - DS0024 Windows Registry](https://attack.mitre.org/datasources/DS0024/) - [COM Hijacking - MITRE T1546.015](https://attack.mitre.org/techniques/T1546/015/) - [IFEO Hijacking - Red Team Notes](https://attack.mitre.org/techniques/T1574/012/) - [Blind Eagle APT - BlackBerry Research](https://blogs.blackberry.com)