# DET0122 — Detect Abuse of Windows Time Providers for Persistence ## Descrição Esta estratégia detecta o abuso do mecanismo de Time Providers do Windows como vetor de persistência. Adversários registram uma DLL maliciosa como provedor de tempo legítimo via chaves de registro em `HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders`, garantindo execução automática na inicialização do serviço W32Time com privilégios elevados. O indicador primário é a criação ou modificação inesperada de subchaves sob o caminho de TimeProviders, especialmente quando a DLL referênciada não pertence a diretórios do sistema (System32, SysWOW64). Combinado com a carga subsequente da DLL por `svchost.exe` ou `w32tm.exe`, forma a cadeia comportamental central a ser monitorada. A telemetria necessária inclui auditoria de registro do Windows (Event ID 4657), logs de carregamento de imagem (Sysmon Event ID 7) e monitoramento de criação de processos filhos de `svchost.exe`. Útil para detectar implantes de longa duração como aqueles utilizados por grupos APT em ambientes Windows corporativos. ## Indicadores de Detecção - Criação ou modificação de chaves em `HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\*` - DLL registrada como `DllName` fora de `C:\Windows\System32\` ou `SysWOW64\` - `svchost.exe` carregando DLL não assinada ou de caminho incomum via W32Time - Reinicialização do serviço W32Time logo após modificação de registro - Event ID 4657 com `ObjectName` contendo `W32Time\TimeProviders` ## Técnicas Relacionadas - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1106-native-api|T1106 — Native API]] ## Analytics Relacionadas - [[an0341-analytic-0341|AN0341 — Analytic 0341]] --- *Fonte: [MITRE ATT&CK — DET0122](https://attack.mitre.org/detectionstrategies/DET0122)*