# DC0017 - Service Creation > [!info] Monitora o registro de novos serviços no sistema operacional. Mecanismo clássico de persistência adversarial — serviços iniciam automaticamente com o sistema e geralmente executam com privilégios elevados. ## Descrição Service Creation monitora o registro de novos serviços no sistema operacional, sejam eles serviços Windows (SCM), daemons Linux/macOS ou unidades systemd. Serviços são um mecanismo clássico de persistência adversarial, pois executam automaticamente na inicialização do sistema e geralmente rodam com privilégios elevados. A criação de serviços é amplamente utilizada por ferramentas de movimentação lateral como PsExec e por malware de ransomware para garantir execução persistente. ## Fonte de Dados Parent: [[ds0019-service|DS0019 - Service]] ## Pipeline de Detecção ```mermaid graph TB A["⚙️ Event ID 7045<br/>Novo Serviço Instalado"] --> B["📋 ImagePath +<br/>ServiceType Capturados"] B --> C{"📁 ImagePath<br/>Suspeito?"} C -->|Temp/AppData/Users| D["🚨 Alerta P1<br/>Path Malicioso"] C -->|Nome Aleatório| E["🚨 Alerta P2<br/>Nome Suspeito"] C -->|PsExec Pattern| F["🚨 Alerta P1<br/>Movimento Lateral"] C -->|Path Legítimo| G{"🔍 Criado por<br/>Processo Esperado?"} G -->|Não| H["🟧 Investigar<br/>Contexto"] G -->|Sim| I["✔️ Serviço<br/>Legítimo"] classDef p1 fill:#e74c3c,color:#ecf0f1 classDef p2 fill:#e67e22,color:#ecf0f1 classDef ok fill:#2ecc71,color:#2c3e50 classDef proc fill:#2c3e50,color:#ecf0f1 class D,F p1 class E,H p2 class I ok class A,B,C,G proc ``` ## O Que Monitorar - Windows Event ID 7045 (Service Control Manager - novo serviço instalado) - Windows Event ID 4697 (Auditoria - novo serviço instalado) - Serviços com ImagePath apontando para diretórios temporários ou de usuário - Serviços criados por processos que não são instaladores conhecidos - Nomes de serviço que imitam serviços do sistema (svchost.exe com -k incomum) - Serviços com StartType configurado para AUTO_START fora de manutenção - Criação de serviços via `sc.exe`, `New-Service`, WMI ou PsExec remotamente ## Técnicas Detectadas | Técnica | ID | Como Detectar | |---------|-----|---------------| | Windows Service | [[t1543-create-or-modify-system-process\|T1543.003]] | Novo serviço com binário em caminho não padrão | | Service Execution | [[t1569-system-services\|T1569.002]] | Serviço criado e imediatamente iniciado como execução one-shot | | SMB/Windows Admin Shares | [[t1021-remote-services\|T1021.002]] | Serviço criado remotamente via SMB (PsExec pattern) | ## Implementação **Windows Event ID 7045** não requer configuração adicional - é gerado automaticamente pelo SCM. **Habilitar Event ID 4697** via: ``` Computer Configuration > Windows Settings > Security Settings > Advanced Audit Policy > System > Audit Security System Extension ``` **SIEM - alertar novos serviços:** ``` index=windows EventCode=7045 | stats count by ServiceName, ImagePath, ServiceType, ComputerName | where NOT [lookup known_services ServiceName OUTPUT ServiceName] ``` **Regra de alerta prioritário:** - `ImagePath` contendo `%TEMP%`, `%APPDATA%` ou `C:\Users\` - `ServiceName` com nomes numéricos ou aleatorizados - Criação fora de janelas de mudança aprovadas **Ferramentas:** Sysmon Event ID 12/13, Windows Event Log, Elastic Security, CrowdStrike Falcon, Wazuh. ## Consultas KQL — Microsoft Sentinel / Defender ### Novo Serviço com ImagePath em Local Suspeito ```kql // DC0017 - Serviço criado com binário em caminho não padrão DeviceServiceEvents | where Timestamp > ago(1d) | where ActionType == "ServiceInstalled" | where ( ServiceImagePath has_any ( @"\AppData\", @"\Temp\", @"\Users\Public\", @"C:\ProgramData\", @"\Downloads\" ) or ServiceImagePath matches regex @"cmd\.exe.*\/c" or ServiceImagePath matches regex @"powershell.*-enc" ) | project Timestamp, DeviceName, ServiceName, ServiceImagePath, ServiceType, InitiatingProcessFileName, InitiatingProcessCommandLine, InitiatingProcessAccountName | order by Timestamp desc ``` ### Padrão PsExec - Serviço Remoto Efêmero ```kql // DC0017 - Padrão de serviço criado e deletado rapidamente (PsExec/movimento lateral) let service_created = DeviceServiceEvents | where Timestamp > ago(1d) | where ActionType == "ServiceInstalled" | project DeviceName, ServiceName, ServiceImagePath, CreatedAt = Timestamp; let service_deleted = DeviceServiceEvents | where Timestamp > ago(1d) | where ActionType == "ServiceDeleted" | project DeviceName, ServiceName, DeletedAt = Timestamp; service_created | join kind=inner service_deleted on DeviceName, ServiceName | where (DeletedAt - CreatedAt) < 5m // Serviço existiu por menos de 5 minutos | project DeviceName, ServiceName, ServiceImagePath, CreatedAt, DeletedAt, duration_seconds = datetime_diff("second", DeletedAt, CreatedAt) | order by CreatedAt desc ``` ## Contexto LATAM > [!latam] Relevância Regional > **Criação de serviços é vetor central de ransomware no Brasil.** Grupos como **RansomHub** e afiliados **LockBit** documentados em ataques a organizações brasileiras em 2024 utilizam sistematicamente **PsExec** para criar serviços efêmeros em hosts remotos antes do deployment do payload. Em ambientes de governo federal brasileiro, o CTIR Gov documentou casos onde serviços foram criados com nomes imitando componentes Windows (ex: "Windows Audio Endpoint Builder" com ImagePath alternativo). O monitoramento do **Event ID 7045** sem necessidade de configuração adicional torna este um dos controles de detecção mais acessíveis — mesmo em organizações com maturidade SOC baixa, como grande parte do setor público LATAM. ## Referências - [MITRE ATT&CK - DS0019 Service](https://attack.mitre.org/datasources/DS0019/) - [Windows Event ID 7045 - Service Installation](https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4697) - [PsExec Service Pattern - Red Canary](https://redcanary.com/blog/) - [CTIR Gov Alertas 2024](https://ctir.gov.br)