# DC0045 — Windows Registry Key Deletion ## Descrição **Windows Registry Key Deletion** monitora a remoção de chaves do Registro do Windows — uma operação de alto impacto que pode indicar evasão de defesas, remoção de evidências ou sabotagem de configurações de segurança. O Registro do Windows é o banco de dados central de configuração do sistema operacional e de aplicações; a exclusão não autorizada de chaves pode impactar desde a inicialização do sistema até a operação de soluções de segurança. Adversários usam exclusão de chaves do Registro de três formas principais: remover chaves de persistência após completar suas operações (cobrindo rastros), deletar chaves de configuração de segurança para impair defenses (como desabilitar o Windows Defender via exclusão de chaves sob `HKLM\SOFTWARE\Policies\Microsoft\Windows Defender`), e eliminar evidências de malware que armazenou dados ou configurações no Registro. A monitoração eficaz requer o Sysmon configurado com filtros para Event IDs 12 e 13, complementado pelos Event IDs 4660 e 4658 do Windows Event Log (que requerem habilitação de auditoria de objeto). A combinação dos dois garante cobertura completa: o Sysmon fornece contexto de processo (qual programa deletou a chave), enquanto o Windows Security Log fornece a identidade do usuário e o caminho completo da chave. Chaves de especial importância para monitorar: qualquer exclusão em `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run`, `HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run`, e `HKLM\SYSTEM\CurrentControlSet\Services` — as localizações mais comuns de persistência via Registro. ## Telemetria | Fonte | Event ID | Descrição | Habilitação | |-------|----------|-----------|-------------| | Sysmon | 12 | RegistryEvent — Object deleted | `sysmon -accepteula -i sysmon.xml` | | Sysmon | 13 | RegistryEvent — Value deleted | Incluso no Event ID 12 | | Windows Security | 4660 | Object deleted (Registry Key) | Auditoria de objeto habilitada | | Windows Security | 4658 | Handle to Registry Key closed | Auditoria de objeto habilitada | | EDR (CrowdStrike, Sentinel One) | — | Registry deletion telemetry | Nativo do agente | ## Queries de Detecção ### KQL — Microsoft Sentinel (Sysmon Event ID 12 — exclusão suspeita) ```kql Event | where EventID == 12 | extend TargetObject = tostring(EventData.TargetObject) | extend Image = tostring(EventData.Image) | extend EventType = tostring(EventData.EventType) | where EventType == "DeleteKey" | where TargetObject has_any ( "CurrentVersion\\Run", "CurrentVersion\\RunOnce", "\\Services\\", "Windows Defender", "SecurityCenter", "\\Policies\\Microsoft\\Windows Defender" ) | project TimeGenerated, Computer, Image, TargetObject, tostring(EventData.User) | order by TimeGenerated desc ``` ### SPL — Splunk (Sysmon — exclusão de chaves de persistência) ```spl index=sysmon EventCode=12 EventType=DeleteKey | eval key_path=TargetObject | where match(key_path, "(?i)(CurrentVersion\\Run|\\Services\\|Windows Defender|SecurityCenter|Policies\\Microsoft)") | table _time, Computer, Image, key_path, User | sort - _time ``` ## Técnicas Relacionadas | Técnica | ID MITRE | Tática | |---------|----------|--------| | [[t1112-modify-registry\|Modify Registry]] | T1112 | Defense Evasion | | [[t1562-impair-defenses\|Impair Defenses]] | T1562 | Defense Evasion | | [[t1070-indicator-removal\|Indicator Removal]] | T1070 | Defense Evasion | | [[t1547-boot-or-logon-autostart-execution\|Boot or Logon Autostart Execution]] | T1547 | Persistence / Privilege Escalation | Ver também: [[ds0024-windows-registry|DS0024 — Windows Registry]], [[dc0056-windows-registry-key-creation|DC0056 — Windows Registry Key Creation]], [[dc0063-windows-registry-key-modification|DC0063 — Windows Registry Key Modification]], [[dc0050-windows-registry-key-access|DC0050 — Windows Registry Key Access]]. ## Contexto LATAM > [!warning] Relevância para Brasil e América Latina > Famílias de malware com forte presença no Brasil — incluindo [[mekotio]], [[s0531-grandoreiro]] e [[casbaneiro]] — utilizam exclusão de chaves do Registro como técnica de anti-análise e limpeza pós-execução. O [[s0531-grandoreiro]], específicamente, deleta chaves de Run após estabelecer persistência alternativa via tarefas agendadas, dificultando a detecção por ferramentas que monitoram apenas Run keys ativas. Organizações do setor [[financial]] no Brasil devem priorizar a auditoria de exclusões em chaves de autostart e de configuração de segurança. ## Referências - [MITRE ATT&CK — DC0045 Windows Registry Key Deletion](https://attack.mitre.org/datacomponents/DC0045) - [Sysmon Event ID 12 — Registry Object Added or Deleted](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon) - [Windows Security Event ID 4660](https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4660) - [[_data-sources|DS0024 — Windows Registry (parent data source)]]