det0061-detect-default-file-association-hijack-via-registry-execution-correlatio

# DET0061 — Detect Default File Association Hijack via Registry & Execution Correlation on Windows ## Descrição O sequestro de associação de arquivos padrão (File Association Hijack) é uma técnica utilizada por adversários para garantir persistência ou executar código malicioso ao manipular entradas no registro do Windows que definem qual programa abre determinado tipo de arquivo. Ao modificar chaves como `HKCU\Software\Classes\` ou `HKCR\`, o atacante redireciona a abertura de extensões comuns (`.txt`, `.html`, `.pdf`) para um executável malicioso, sem que o usuário perceba qualquer mudança visual. Esta estratégia de detecção correlaciona dois sinais complementares: (1) modificações suspeitas nas chaves de registro que controlam associações de arquivos e (2) a subsequente execução de processos inesperados após o usuário abrir um arquivo comum. A correlação temporal entre o evento de registry e a execução do processo é o principal indicador de comprometimento. A detecção é especialmente relevante em ambientes corporativos onde a modificação de associações de arquivos não é uma operação administrativa legítima frequente. Grupos como [[g0032-lazarus-group]] e agentes de ransomware utilizam essa técnica para garantir persistência persistente entre reinicializações do sistema. ## Indicadores de Detecção - Modificação nas chaves `HKCU\Software\Classes\<ext>\shell\open\command` por processos não administrativos - Alteração em `HKCR\<ext>` ou `HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\` - Processo inesperado iniciado imediatamente após abertura de arquivo com extensão modificada - Binário invocado via associação de arquivo localizado em diretórios incomuns (`%TEMP%`, `%APPDATA%`) - Discrepância entre o handler registrado e o executável padrão esperado para a extensão ## Técnicas Relacionadas - [[t1546003-event-triggered-execution-windows-management-instrumentation-event-subscription|T1546 — Event Triggered Execution]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1036-masquerading|T1036 — Masquerading]] ## Analytics Relacionadas - [[an0170-analytic-0170|AN0170 — Analytic 0170]] --- *Fonte: [MITRE ATT&CK — DET0061](https://attack.mitre.org/detectionstrategies/DET0061)*