# DC0050 — Windows Registry Key Access ## Descrição **Windows Registry Key Access** captura ações de abertura e leitura de chaves do Registro do Windows — tipicamente para consultar valores de configuração de sistema, aplicações ou políticas de segurança. Este componente é particularmente relevante para detectar reconhecimento de sistema e coleta de credenciais armazenadas no Registro. Adversários leem o Registro para múltiplos fins: descobrir configurações de sistema (versão do OS, software instalado, configurações de rede), localizar credenciais armazenadas em texto plano ou ofuscado (especialmente em chaves de VPN, software RDP e aplicações legadas), identificar chaves de persistência já instaladas por outros atores, e mapear políticas de segurança que possam ser contornadas. Chaves de especial interesse para atacantes incluem: `HKLM\SAM\SAM\Domains\Account\Users` (hashes de senha locais), `HKLM\SECURITY\Policy\Secrets` (secrets LSA), `HKCU\Software\SimonTatham\PuTTY\Sessions` (configurações SSH com senhas salvas), `HKLM\SOFTWARE\RealVNC\WinVNC4` (credenciais VNC), e qualquer chave de software de gestão remota. A geração de telemetria para acessos de Registro é mais intrusiva que para modificações — o volume de eventos pode ser muito alto em sistemas normais. A estratégia recomendada é aplicar filtros focados em chaves de alto valor (credenciais, SAM, LSA Secrets) e em processos não-esperados acessando essas chaves (ex: `cmd.exe` ou `powershell.exe` acessando `HKLM\SAM`). ## Telemetria | Fonte | Event ID | Descrição | Configuração | |-------|----------|-----------|-------------| | Windows Security | 4656 | Handle requested to Registry Key | Auditoria de acesso a objeto + SACL | | Windows Security | 4663 | Object access attempted | SACL configurada na chave | | Sysmon | — | Sem event ID dedicado para acesso puro | Usar Process Access (Event 10) como proxy | | EDR nativo | — | Registry read telemetry | CrowdStrike, Sentinel One, Cortex XDR | | PowerShell Logging | 4104 | Script block logging | `Get-ItemProperty`, `Get-Item` no Registro | ## Queries de Detecção ### KQL — Microsoft Sentinel (acesso suspeito ao SAM/LSA) ```kql SecurityEvent | where EventID in (4656, 4663) | extend ObjectName = tostring(EventData.ObjectName) | extend SubjectUserName = tostring(EventData.SubjectUserName) | extend ProcessName = tostring(EventData.ProcessName) | where ObjectName has_any ( "\\REGISTRY\\MACHINE\\SAM", "\\REGISTRY\\MACHINE\\SECURITY\\Policy\\Secrets", "\\REGISTRY\\MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\WDigest" ) | where ProcessName !has_any ("lsass.exe", "svchost.exe", "services.exe") | project TimeGenerated, Computer, SubjectUserName, ProcessName, ObjectName | order by TimeGenerated desc ``` ### SPL — Splunk (PowerShell lendo credenciais do Registro) ```spl index=wineventlog EventCode=4104 | search ScriptBlockText IN ("*HKLM\\SAM*", "*HKLM\\SECURITY*", "*VNC*", "*PuTTY\\Sessions*", "*WinSCP*", "*RealVNC*", "*Get-ItemProperty*HKLM*", "*reg query*SAM*") | table _time, Computer, ScriptBlockText | sort - _time ``` ## Técnicas Relacionadas | Técnica | ID MITRE | Tática | |---------|----------|--------| | [[t1012-query-registry\|Query Registry]] | T1012 | Discovery | | [[t1552-unsecured-credentials\|Unsecured Credentials]] | T1552 | Credential Access | | [[t1003-os-credential-dumping\|OS Credential Dumping]] | T1003 | Credential Access | | [[t1082-system-information-discovery\|System Information Discovery]] | T1082 | Discovery | Ver também: [[ds0024-windows-registry|DS0024 — Windows Registry]], [[dc0056-windows-registry-key-creation|DC0056 — Windows Registry Key Creation]], [[dc0063-windows-registry-key-modification|DC0063 — Windows Registry Key Modification]], [[dc0045-windows-registry-key-deletion|DC0045 — Windows Registry Key Deletion]]. ## Contexto LATAM > [!warning] Relevância para Brasil e América Latina > Trojans bancários brasileiros como [[s0531-grandoreiro]], [[mekotio]] e [[casbaneiro]] realizam extensa leitura de chaves do Registro para fingerprinting do sistema (identificar bancos instalados, software de segurança ativo) e para localizar credenciais de clientes de email e FTP. O [[s0531-grandoreiro]], em particular, consulta múltiplas chaves de software bancário instalado antes de decidir qual payload carregar — uma técnica de targeting que aumenta a eficiência do ataque e dificulta análise em sandbox. Soluções de monitoramento no setor [[financial]] devem incluir regras específicas para acesso a chaves de software bancário. ## Referências - [MITRE ATT&CK — DC0050 Windows Registry Key Access](https://attack.mitre.org/datacomponents/DC0050) - [MITRE ATT&CK — T1012 Query Registry](https://attack.mitre.org/techniques/T1012/) - [Windows Security Event 4663 — Object Access](https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4663) - [Sysmon Configuration Best Practices](https://github.com/SwiftOnSecurity/sysmon-config) - [[_data-sources|DS0024 — Windows Registry (parent data source)]]