det0209-detection-of-registry-query-for-environmental-discovery

# DET0209 — Detection of Registry Query for Environmental Discovery ## Descrição Esta estratégia detecta consultas ao registro do Windows para fins de reconhecimento do ambiente — mapeada para [[T1012 — Query Registry]]. Adversários consultam o registro para identificar software instalado, configurações de segurança, configurações de rede, produtos de antivírus, informações de domínio e outros detalhes do ambiente que informam a próxima fase do ataque. As consultas frequentemente visam chaves específicas de alto valor informacional. A detecção foca em consultas de registro por processos suspeitos a chaves de interesse do atacante: `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\` (software instalado), `HKLM\SYSTEM\CurrentControlSet\Services\` (serviços e drivers), `HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\` (configurações de AV), e `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\` (informações de SO). O volume e padrão de consultas são mais indicativos do que qualquer consulta individual. O analytics AN0589 correlaciona: processo realizando consultas de registro em sequência rápida a múltiplas chaves de interesse de reconhecimento, processo pai suspeito (shell, script de terceiro, processo remoto), e correlação temporal com outras atividades de descoberta (execução de `whoami`, `systeminfo`, `net user`). ## Indicadores de Detecção - Consulta a `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\` por processo não-instalador - Leitura de `HKLM\SYSTEM\CurrentControlSet\Services\` em varredura por processo de script - Consulta a chaves de configuração de AV/EDR (`HKLM\SOFTWARE\{vendor de segurança}`) por processo suspeito - `reg query HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server` verificando RDP habilitado - Leitura de `HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs` por processo não-explorador - PowerShell `Get-ItemProperty HKLM:\SOFTWARE\*` iterando sobre múltiplas chaves de software - Processo remoto (via WMI ou PSRemoting) realizando bulk queries ao registro de sistema ## Técnicas Relacionadas - [[t1012-query-registry|T1012 — Query Registry]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1518-software-discovery|T1518 — Software Discovery]] - [[t1016-system-network-configuration-discovery|T1016 — System Network Configuration Discovery]] ## Analytics Relacionadas - [[an0589-analytic-0589|AN0589 — Analytic 0589]] --- *Fonte: [MITRE ATT&CK — DET0209](https://attack.mitre.org/detectionstrategies/DET0209)*