det0072-detect-logon-script-modifications-and-execution

# DET0072 — Detect Logon Script Modifications and Execution ## Descrição Scripts de logon são mecanismos legítimos do Windows usados por administradores para executar configurações automaticamente quando um usuário faz login. Adversários abusam dessa funcionalidade (T1037.001) para garantir persistência: ao modificar scripts de logon via Group Policy, perfis de usuário (`HKCU\Environment\UserInitMprLogonScript`) ou compartilhamentos NETLOGON, o atacante garante execução de payload a cada autenticação do usuário comprometido, sem necessidade de criar novos serviços ou tarefas agendadas suspeitas. Esta estratégia de detecção monitora modificações em scripts de logon em locais críticos: arquivos `.bat`, `.vbs`, `.ps1` ou `.cmd` no compartilhamento NETLOGON de controladores de domínio, chaves de registro `UserInitMprLogonScript` ou `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit`, e GPOs que referênciam scripts de logon modificados recentemente. A correlação entre a modificação e a execução subsequente pelo processo `userinit.exe` ou `explorer.exe` confirma o abuso. Em ambientes Active Directory, a modificação de scripts de logon em GPOs de alta abrangência pode resultar em execução massiva em centenas de endpoints simultaneamente — tornando essa técnica especialmente atraente para grupos com objetivos de persistência em escala. Operadores de ransomware frequentemente modificam scripts de logon como backup de persistência antes de ativar a criptografia. ## Indicadores de Detecção - Modificação de arquivo em `\\<DC>\NETLOGON\` por conta que não sejá de administrador de domínio - Alteração da chave de registro `HKCU\Environment\UserInitMprLogonScript` por processo não administrativo - GPO contendo referência a script de logon com hash diferente do baseline - Processo `userinit.exe` executando script com caminho não catalogado no inventário de GPOs - Script de logon com conteúdo codificado em base64 ou invocação de PowerShell com parâmetros ofuscados - Criação de novo arquivo `.bat` ou `.ps1` em diretório de scripts de logon durante horário não comercial ## Técnicas Relacionadas - [[t1037001-boot-or-logon-initialization-scripts-logon-script-windows|T1037.001 — Logon Script Windows]] - [[t1037-boot-or-logon-initialization-scripts|T1037 — Boot or Logon Initialization Scripts]] - [[t1484001-domain-policy-modification-group-policy-modification|T1484.001 — Group Policy Modification]] - [[t1059001-command-and-scripting-interpreter-powershell|T1059.001 — PowerShell]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] ## Analytics Relacionadas - [[an0199-analytic-0199|AN0199 — Analytic 0199]] --- *Fonte: [MITRE ATT&CK — DET0072](https://attack.mitre.org/detectionstrategies/DET0072)*