det0154-detect-screensaver-based-persistence-via-registry-and-execution-chains

# DET0154 — Detect Screensaver-Based Persistence via Registry and Execution Chains ## Descrição Esta estratégia detecta persistência via proteção de tela do Windows (T1546.002), onde adversários modificam as chaves de registro de screensaver para executar um binário malicioso quando o sistema fica ocioso. A chave `HKCU\Control Panel\Desktop\SCRNSAVE.EXE` pode ser apontada para qualquer executável, que rodará com os privilégios do usuário logado após o timeout de inatividade configurado. A técnica é furtiva porque o screensaver não aparece como startup entry óbvio e o arquivo não precisa ter extensão `.scr` (qualquer EXE funciona). Além da chave `SCRNSAVE.EXE`, as chaves `ScreenSaveActive=1` e `ScreenSaverIsSecure=0` indicam que a funcionalidade está habilitada. Malwares como Agent Tesla e algumas variantes de RAT documentaram uso desta técnica. A telemetria inclui Sysmon Event ID 13 (Registry value set) para modificações em `HKCU\Control Panel\Desktop\SCRNSAVE.EXE`, monitoramento de execução de processos filhos do subsistema de screensaver (`winlogon.exe` → processo screensaver), e comparação do valor da chave com o hash do screensaver legítimo do Windows (`scrnsave.scr`). Modificação do valor para apontar para caminho fora de `System32` é de alta fidelidade. ## Indicadores de Detecção - Chave `HKCU\Control Panel\Desktop\SCRNSAVE.EXE` apontando para executável fora de `System32` - Modificação da chave `SCRNSAVE.EXE` por processo não-System-Settings ou Control Panel - Screensaver configurado como `.exe` em `%TEMP%`, `%APPDATA%`, ou `%USERPROFILE%\Downloads\` - Processo filho de `winlogon.exe` sem extensão `.scr` ou com hash não reconhecido - `ScreenSaverIsSecure=0` combinado com `SCRNSAVE.EXE` apontando para caminho suspeito ## Técnicas Relacionadas - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] ## Analytics Relacionadas - [[an0441-analytic-0441|AN0441 — Analytic 0441]] --- *Fonte: [MITRE ATT&CK — DET0154](https://attack.mitre.org/detectionstrategies/DET0154)*