# DC0056 — Windows Registry Key Creation ## Descrição **Windows Registry Key Creation** captura a criação de novas chaves no Registro do Windows — evento que frequentemente indica instalação de software, configuração de sistema ou, em contexto malicioso, estabelecimento de mecanismos de persistência. A criação de chaves em localizações estratégicas do Registro é uma das técnicas de persistência mais utilizadas por malware, especialmente por trojans bancários e RATs. Adversários criam novas chaves no Registro para estabelecer persistência (Run keys, Services), armazenar payloads codificados, configurar malware com parâmetros de C2, e registrar extensões maliciosas em pontos de autostart como `HKCU\Software\Classes\*\shell`. A simplicidade e efetividade desta técnica explica sua prevalência: práticamente toda família de malware Windows utiliza alguma forma de persistência via Registro. O Sysmon Event ID 12 (com EventType "CreateKey") é a principal fonte de telemetria para este componente. Diferente das modificações (Event ID 13), a criação de chave indica que uma estrutura completamente nova foi adicionada ao Registro — o que é mais raro em operação normal e, portanto, tem melhor relação sinal/ruído para detecção. Localizações prioritárias para monitorar criações: `HKCU\Software\Microsoft\Windows\CurrentVersion\Run`, `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon` (valores Userinit/Shell), `HKLM\SYSTEM\CurrentControlSet\Services\` (novos serviços), e qualquer chave sob `HKCU\Software\Classes` que possa sequestrar handlers de arquivos ou protocolos. ## Telemetria | Fonte | Event ID | Descrição | Configuração | |-------|----------|-----------|-------------| | Sysmon | 12 (CreateKey) | Nova chave criada | Filtros por TargetObject no sysmon.xml | | Windows Security | 4657 | Registry value created | Auditoria de registro de objeto + SACL | | PowerShell Logging | 4104 | `New-Item -Path HKLM:\...` | Script block logging habilitado | | EDR nativo | — | Registry key creation | CrowdStrike, Sentinel One, Cortex XDR | ## Queries de Detecção ### KQL — Microsoft Sentinel (Sysmon — criação de chaves de persistência) ```kql Event | where EventID == 12 | extend EventType = tostring(EventData.EventType) | extend TargetObject = tostring(EventData.TargetObject) | extend Image = tostring(EventData.Image) | extend User = tostring(EventData.User) | where EventType == "CreateKey" | where TargetObject has_any ( "CurrentVersion\\Run", "CurrentVersion\\RunOnce", "\\Winlogon", "\\Userinit", "\\CurrentControlSet\\Services\\", "\\Software\\Classes\\", "\\Explorer\\Shell Folders" ) | where Image !has_any ( "msiexec.exe", "setup.exe", "install.exe", "WindowsInstaller", "TrustedInstaller" ) | project TimeGenerated, Computer, User, Image, TargetObject | order by TimeGenerated desc ``` ### SPL — Splunk (nova chave de serviço criada fora de horário comercial) ```spl index=sysmon EventCode=12 EventType=CreateKey | eval hour=strftime(_time, "%H"), dow=strftime(_time, "%w") | where (hour < 7 OR hour > 20) OR dow IN ("0", "6") | where match(TargetObject, "(?i)(CurrentVersion\\Run|\\Services\\|Winlogon|Userinit|Shell Folders)") | where NOT match(Image, "(?i)(msiexec|TrustedInstaller|svchost)") | table _time, Computer, Image, TargetObject, User | sort - _time ``` ## Técnicas Relacionadas | Técnica | ID MITRE | Tática | |---------|----------|--------| | [[t1547-boot-or-logon-autostart-execution\|Boot or Logon Autostart Execution]] | T1547 | Persistence / Privilege Escalation | | [[t1112-modify-registry\|Modify Registry]] | T1112 | Defense Evasion | | [[t1543-create-or-modify-system-process\|Create or Modify System Process]] | T1543 | Persistence | | [[t1574-hijack-execution-flow\|Hijack Execution Flow]] | T1574 | Persistence / Defense Evasion | Ver também: [[ds0024-windows-registry|DS0024 — Windows Registry]], [[dc0063-windows-registry-key-modification|DC0063 — Windows Registry Key Modification]], [[dc0045-windows-registry-key-deletion|DC0045 — Windows Registry Key Deletion]], [[dc0050-windows-registry-key-access|DC0050 — Windows Registry Key Access]]. ## Contexto LATAM > [!warning] Relevância para Brasil e América Latina > A criação de Run keys é a técnica de persistência mais documentada em trojans bancários brasileiros. O [[s0531-grandoreiro]] tipicamente cria chaves em `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` com nomes gerados aleatoriamente apontando para loaders em `%APPDATA%`. O [[casbaneiro]] usa variações em `HKCU\Software\Classes\` para sequestrar handlers de protocolo. Em ambos os casos, a criação ocorre frequentemente durante horários comerciais para se misturar ao tráfego de instalação de software legítimo — tornando a detecção baseada em comportamento de processo (imagem + localização de chave) mais eficaz que regras baseadas apenas em horário. ## Referências - [MITRE ATT&CK — DC0056 Windows Registry Key Creation](https://attack.mitre.org/datacomponents/DC0056) - [MITRE ATT&CK — T1547 Boot or Logon Autostart Execution](https://attack.mitre.org/techniques/T1547/) - [Sysmon Event ID 12 — Registry Object Added or Deleted](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon) - [SwiftOnSecurity Sysmon Config](https://github.com/SwiftOnSecurity/sysmon-config) - [[_data-sources|DS0024 — Windows Registry (parent data source)]]