# DC0041 — Service Metadata ## Descrição O **Service Metadata** captura dados contextuais sobre serviços e daemons do sistema operacional — informações descritivas sobre um serviço existente, como nome de exibição, nome do serviço, tipo de inicialização (automático, manual, desabilitado), caminho do executável associado, conta de serviço utilizada, estado atual (em execução, parado) e descrição. Diferentemente do [[dc0060-service-creation|Service Creation]] que registra o momento de registro de um novo serviço, o Service Metadata permite auditar o estado e as propriedades dos serviços existentes — o que é valioso tanto para baselines de configuração quanto para detecção de anomalias. Um serviço legítimo com metadados alterados (ex.: caminho do executável trocado) é um forte indicador de comprometimento via [[t1543-create-or-modify-system-process|T1543-creaté-or-modify-system-process]]. O masquerading de serviços ([[t1036-masquerading|T1036-masquerading]]) é uma técnica onde adversários criam serviços com nomes similares a serviços legítimos do Windows (ex.: `svchost` vs `svch0st`, `WindowsUpdaté` em vez do serviço oficial) ou reutilizam nomes de serviços existentes apontando para executáveis maliciosos. A análise de metadados — especialmente o caminho do executável — permite identificar essas inconsistências. A conta de serviço utilizada também é relevante: serviços rodando como `SYSTEM` ou `LocalService` que não deveriam ter esse nível de privilégio, ou serviços configurados com credenciais de usuário de domínio, são indicadores de configuração suspeita. Em contextos de persistência, adversários frequentemente configuram serviços maliciosos para rodar com a conta `SYSTEM` para garantir máximos privilégios. ## Telemetria | Plataforma | Event ID | Descrição | Log Source | |---|---|---|---| | Windows | `sc query` / `Get-Service` | Enumeração de serviços e seus metadados | PowerShell / CMD | | Windows | Registro `HKLM\SYSTEM\CurrentControlSet\Services` | Configuração persistente de serviços | Registry | | Windows | 7045 | Novo serviço instalado — inclui metadados | System.evtx | | Windows | 4697 | Serviço instalado no sistema | Security.evtx | | Linux | `systemctl` / `/etc/systemd/system/` | Enumeração de unidades systemd | Systemd | | Linux | `/etc/init.d/` | Scripts de serviço SysV | Filesystem | | macOS | `launchctl` / `/Library/LaunchDaemons/` | Daemons de sistema macOS | launchd | ## Queries de Detecção ### KQL — Azure Sentinel / Microsoft Defender ```kql // Serviços com executável em caminhos incomuns DeviceRegistryEvents | where RegistryKey has @"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services" | where RegistryValueName == "ImagePath" | where not(RegistryValueData has_any (@"C:\Windows\", @"C:\Program Files\", @"C:\Program Files (x86)\")) | project Timestamp, DeviceName, RegistryKey, RegistryValueData, InitiatingProcessFileName | order by Timestamp desc ``` ### SPL — Splunk (com Windows Events) ```spl index=wineventlog source="WinEventLog:System" EventCode=7045 | where NOT (ServiceFileName LIKE "C:\\Windows\\%" OR ServiceFileName LIKE "C:\\Program Files\\%" OR ServiceFileName LIKE "C:\\Program Files (x86)\\%") | eval risk=if(ServiceAccountName IN ("LocalSystem", "NT AUTHORITY\\SYSTEM"), "critical", "high") | table _time, ComputerName, ServiceName, ServiceFileName, ServiceAccountName, risk | sort - risk, _time ``` ## Técnicas Relacionadas | Técnica | Nome | Relevância | |---|---|---| | [[t1543-create-or-modify-system-process\|T1543-creaté-or-modify-system-process]] | Create or Modify System Process | Modificação de metadados de serviços existentes | | [[t1036-masquerading\|T1036-masquerading]] | Masquerading | Serviços com nomes similares a legítimos mas caminhos diferentes | | [[t1569-system-services\|T1569-system-services]] | System Services | Execução de código via serviços do sistema | ## Contexto LATAM > [!globe] Relevância Regional > A análise de metadados de serviços é uma técnica de hunting valiosa para SOCs brasileiros — especialmente para identificar persistência estabelecida por ransomware e RATs que instalam serviços maliciosos. A válidação periódica dos caminhos de executáveis de todos os serviços instalados contra uma baseline conhecida é uma prática recomendada para organizações governamentais brasileiras e setor financeiro. ## Referências - [MITRE ATT&CK — DC0041 Service Metadata](https://attack.mitre.org/datasources/DS0019/#Service%20Metadata) - [Windows Services Registry Keys](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/component-updates/services) - [[ds0019-service|DS0019 — Service]] - [[t1543-create-or-modify-system-process|T1543-creaté-or-modify-system-process]] - [[t1036-masquerading|T1036-masquerading]]