det0033-detection-strategy-for-accessibility-feature-hijacking-via-binary-replac

# DET0033 — Detection Strategy for Accessibility Feature Hijacking via Binary Replacement or Registry Modification ## Descrição Esta estratégia detecta o sequestro de recursos de acessibilidade do Windows (Accessibility Features) para obter acesso backdoor ao sistema, especialmente em contextos de tela de login (pré-autenticação). Binários como `sethc.exe` (Sticky Keys — ativado com 5 pressionamentos de Shift), `utilman.exe` (Utilitário de Acesso), `osk.exe` (Teclado na Tela) e `magnify.exe` são substituídos por shells ou backdoors, permitindo execução de comandos com privilégios de SYSTEM sem autenticação. A detecção primária foca em modificações nos arquivos-alvo em `%WINDIR%\System32\`: qualquer alteração de hash, data de modificação, ou substituição por binário diferente deve acionar alerta imediato. Uma técnica alternativa usa a chave de registro `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe` com um `Debugger` value apontando para um shell — este vetor não requer substituição de arquivo e é mais difícil de detectar. Monitoramento de processos filhos de `winlogon.exe` e `LogonUI.exe` é essencial: qualquer processo filho de `winlogon` que não sejá `userinit.exe` ou `dwm.exe` deve ser investigado. Após um evento de RDP connect sem autenticação seguido de processo filho de `winlogon`, a probabilidade de exploração de Sticky Keys é muito alta. ## Indicadores de Detecção - Modificação de hash de `%WINDIR%\System32\sethc.exe`, `utilman.exe`, `osk.exe`, ou `magnify.exe` - Chave de registro `Image File Execution Options\sethc.exe` ou `utilman.exe` com valor `Debugger` - Processo filho de `winlogon.exe` diferente de `userinit.exe`, `dwm.exe`, ou `fontdrvhost.exe` - `cmd.exe` ou `powershell.exe` executando a partir de sessão com `Session ID 0` (sem login de usuário) - Acesso RDP na porta 3389 sem evento de autenticação bem-sucedida anterior, seguido de atividade de processo - Substituição de binário de acessibilidade por cópia de `cmd.exe` (verificar hash cruzado) - Chave `HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\fInheritInitialProgram` modificada ## Técnicas Relacionadas - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1021-remote-services|T1021 — Remote Services]] ## Analytics Relacionadas - [[an0094-analytic-0094|AN0094 — Analytic 0094]] --- *Fonte: [MITRE ATT&CK — DET0033](https://attack.mitre.org/detectionstrategies/DET0033)*