# DC0063 — Windows Registry Key Modification ## Descrição **Windows Registry Key Modification** monitora alterações em chaves e valores existentes do Registro do Windows — incluindo modificações de dados, renomeação de chaves e alterações de permissões. Este componente tem ampla cobertura de técnicas adversariais, pois modificar entradas existentes do Registro é frequentemente menos detectável do que criar novas chaves, tornando-o um método preferêncial para evasão de defesas. Adversários modificam o Registro para: alterar configurações de autostart existentes (substituindo um valor legítimo por um payload malicioso), desabilitar mecanismos de segurança (modificando chaves do Windows Defender, UAC ou política de execução de scripts), alterar permissões de chaves para dificultar a remoção de persistência, e renomear chaves maliciosas para imitar nomes de software legítimo (masquerading). Exemplos de modificações de alta criticidade: definir `HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware` para 1 (desativa o Defender), alterar `HKLM\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel` para reduzir a segurança de autenticação, modificar `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit` para incluir um segundo executável separado por vírgula. O Sysmon Event ID 13 (RegistryEvent — Value Set) é a telemetria primária para este componente. Combinado com o Event ID 14 (RegistryEvent — Key and Value Rename), oferece visibilidade completa sobre modificações e renomeações. O Windows Security Event ID 4657 complementa com contexto de auditoria quando SACLs estão configuradas nas chaves de alto valor. ## Telemetria | Fonte | Event ID | Descrição | Notas | |-------|----------|-----------|-------| | Sysmon | 13 | RegistryEvent — Value Set | Principal fonte; inclui processo e valor novo | | Sysmon | 14 | RegistryEvent — Key and Value Rename | Detecta masquerading por renomeação | | Windows Security | 4657 | Registry value modified | SACL nas chaves de alto valor | | PowerShell Logging | 4104 | `Set-ItemProperty`, `reg add` | Script block logging | | EDR nativo | — | Registry modification telemetry | CrowdStrike, Sentinel One, Cortex XDR | ## Queries de Detecção ### KQL — Microsoft Sentinel (Sysmon — modificações críticas de segurança) ```kql Event | where EventID == 13 | extend TargetObject = tostring(EventData.TargetObject) | extend Details = tostring(EventData.Details) | extend Image = tostring(EventData.Image) | where TargetObject has_any ( "Windows Defender\\DisableAntiSpyware", "Windows Defender\\DisableRealTimeMonitoring", "Lsa\\LmCompatibilityLevel", "Winlogon\\Userinit", "Winlogon\\Shell", "\\Policies\\Microsoft\\Windows\\PowerShell", "EnableLUA", "ConsentPromptBehaviorAdmin" ) | project TimeGenerated, Computer, Image, TargetObject, Details, tostring(EventData.User) | order by TimeGenerated desc ``` ### SPL — Splunk (modificação de chaves de persistência por processo suspeito) ```spl index=sysmon EventCode=13 | where match(TargetObject, "(?i)(CurrentVersion\\Run|Winlogon|Userinit|Shell\\Open\\Command|Windows Defender|EnableLUA)") | where NOT match(Image, "(?i)(MsMpEng\\.exe|msiexec\\.exe|TrustedInstaller\\.exe|svchost\\.exe|SYSTEM)") | table _time, Computer, Image, TargetObject, Details, User | sort - _time ``` ### KQL — Renomeação de chaves (possível masquerading) ```kql Event | where EventID == 14 | extend OldName = tostring(EventData.OldName) | extend NewName = tostring(EventData.NewName) | extend Image = tostring(EventData.Image) | where Image !has_any ("regedit.exe", "msiexec.exe", "TrustedInstaller") | project TimeGenerated, Computer, Image, OldName, NewName, tostring(EventData.User) | order by TimeGenerated desc ``` ## Técnicas Relacionadas | Técnica | ID MITRE | Tática | |---------|----------|--------| | [[t1112-modify-registry\|Modify Registry]] | T1112 | Defense Evasion | | [[t1547-boot-or-logon-autostart-execution\|Boot or Logon Autostart Execution]] | T1547 | Persistence | | [[t1562-impair-defenses\|Impair Defenses]] | T1562 | Defense Evasion | | [[t1036-masquerading\|Masquerading]] | T1036 | Defense Evasion | | [[t1222-file-and-directory-permissions-modification\|File and Directory Permissions Modification]] | T1222 | Defense Evasion | Ver também: [[ds0024-windows-registry|DS0024 — Windows Registry]], [[dc0056-windows-registry-key-creation|DC0056 — Windows Registry Key Creation]], [[dc0045-windows-registry-key-deletion|DC0045 — Windows Registry Key Deletion]], [[dc0050-windows-registry-key-access|DC0050 — Windows Registry Key Access]]. ## Contexto LATAM > [!danger] Trojans bancários e modificações de Registro no Brasil > O [[s0531-grandoreiro]] e o [[mekotio]] modificam chaves do Registro do Windows Defender para desativar a proteção em tempo real antes de executar suas rotinas de roubo de credenciais bancárias. O [[casbaneiro]] modifica valores de `Shell\Open\Command` para sequestrar a abertura de arquivos `.lnk` e redirecionar para seu loader. Estas técnicas são bem documentadas pelo CERT.br e por pesquisadores da ESET, que monitoram ativamente campanhas desses trojans contra usuários de internet banking no Brasil. A detecção de modificações no `Winlogon\Userinit` por processos não-sistêmicos é um indicador de comprometimento de alta fidelidade neste contexto. ## Referências - [MITRE ATT&CK — DC0063 Windows Registry Key Modification](https://attack.mitre.org/datacomponents/DC0063) - [MITRE ATT&CK — T1112 Modify Registry](https://attack.mitre.org/techniques/T1112/) - [Sysmon Event ID 13 — Registry Value Set](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon) - [ESET — Análise do Grandoreiro](https://www.welivesecurity.com/tag/grandoreiro/) - [[_data-sources|DS0024 — Windows Registry (parent data source)]]