# DC0065 — Service Modification ## Descrição O **Service Modification** registra alterações feitas em serviços ou daemons já existentes — mudanças no nome de exibição, tipo de inicialização, caminho do executável associado, parâmetros de execução, conta de serviço ou configurações de segurança. Diferentemente do [[dc0060-service-creation|Service Creation]], aqui o serviço já existe; o evento captura sua modificação. A modificação de serviços existentes é uma técnica de persistência mais silenciosa que a criação de novos serviços — um adversário pode "sequestrar" um serviço legítimo existente, modificando seu executável para apontar para um payload malicioso. Isso é especialmente eficaz porque o serviço aparece com nome e descrição legítimos, e ferramentas de monitoramento que apenas verificam a existência dos serviços não detectam a modificação. O [[t1562-impair-defenses|T1562-impair-defenses]] também usa modificação de serviços — um adversário pode alterar o tipo de inicialização de serviços de segurança (de "Automatic" para "Disabled"), efetivamente desabilitando proteções sem remover o serviço. Essa mudança pode ser sutil e passar despercebida em revisões manuais. A alteração do tipo de startup de serviços como Windows Defender, Sysmon, ou agentes de monitoramento é um sinal crítico de alerta. Adversários também modificam serviços legítimos para incluir parâmetros adicionais ou substituir o executável original — uma técnica conhecida como "Service Binary Hijacking". Combinada com [[t1574-hijack-execution-flow|T1574-hijack-execution-flow]], isso permite execução de código malicioso no contexto do serviço original. ## Telemetria | Plataforma | Event ID | Descrição | Log Source | |---|---|---|---| | Windows | 7040 | Tipo de início de serviço alterado | System.evtx | | Windows | 4697 | Modificação de serviço (se auditoria habilitada) | Security.evtx | | Windows | Sysmon 13 | Modificação de chave de registro em `Services\` | Sysmon | | Windows | Sysmon 14 | Renomeação de chave de registro de serviço | Sysmon | | Linux | Auditd `inotify` | Modificação de arquivo em `/etc/systemd/system/` | Auditd | | Linux | `journalctl --since` | Registro de reload de daemon | systemd Journal | | macOS | FSEvents | Modificação de plist em `/Library/LaunchDaemons/` | FSEvents | ## Queries de Detecção ### KQL — Azure Sentinel / Microsoft Defender ```kql // Serviço de segurança com tipo de inicialização alterado para Disabled DeviceRegistryEvents | where RegistryKey has @"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services" | where RegistryValueName == "Start" | extend ServiceName = extract(@"Services\\([^\\]+)", 1, RegistryKey) | where ServiceName in~ ("WinDefend", "MsMpEng", "Sysmon", "Sense", "MBAMService", "CrowdStrike", "CylanceSvc", "SentinelAgent") | where RegistryValueData == "4" // 4 = Disabled | project Timestamp, DeviceName, ServiceName, RegistryKey, RegistryValueData, InitiatingProcessFileName, InitiatingProcessCommandLine | order by Timestamp desc ``` ### SPL — Splunk (com Sysmon) ```spl index=sysmon EventCode=13 TargetObject="*\\Services\\*\\Start" TargetObject IN ( "*\\WinDefend\\*", "*\\Sysmon\\*", "*\\Sense\\*", "*\\MBAMService\\*", "*\\CrowdStrike\\*" ) Details="DWORD (0x00000004)" | eval risk="critical" | table _time, Computer, TargetObject, Details, Image, CommandLine, risk | sort - _time ``` ## Técnicas Relacionadas | Técnica | Nome | Relevância | |---|---|---| | [[t1543-create-or-modify-system-process\|T1543-creaté-or-modify-system-process]] | Create or Modify System Process | Modificação do executável de serviços para persistência | | [[t1562-impair-defenses\|T1562-impair-defenses]] | Impair Defenses | Desabilitação de serviços de segurança via modificação de Start type | | [[t1489-service-stop\|T1489-service-stop]] | Service Stop | Pré-ataque: modificar antes de parar serviços críticos | ## Contexto LATAM > [!globe] Relevância Regional > A modificação de serviços de segurança para desabilitá-los é um passo padrão nos playbooks de ransomware que afetam o Brasil. Monitorar modificações no tipo de inicialização (Start = 4/Disabled) de serviços de AV e EDR via Sysmon Event ID 13 é um controle de alta precisão. Complementarmente, alertas de linha de base (baseline deviation) para o caminho do executável de serviços críticos detectam Service Binary Hijacking antes que o serviço sejá reiniciado com o payload malicioso. ## Referências - [MITRE ATT&CK — DC0065 Service Modification](https://attack.mitre.org/datasources/DS0019/#Service%20Modification) - [Windows Event ID 7040 — Service Start Type Changed](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn319093(v=ws.11)) - [Sysmon Event ID 13 — Registry Value Set](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon) - [[ds0019-service|DS0019 — Service]] - [[t1543-create-or-modify-system-process|T1543-creaté-or-modify-system-process]] - [[t1562-impair-defenses|T1562-impair-defenses]]