det0274-boot-or-logon-autostart-execution-detection-strategy

# DET0274 — Boot or Logon Autostart Execution Detection Strategy ## Descrição Esta estratégia cobre a detecção de mecanismos de autostart no boot ou logon de usuário — um dos métodos de persistência mais comuns em Windows, Linux e macOS. Adversários registram payloads maliciosos em dezenas de localizações de autostart: chaves de registro Run/RunOnce, pastas de Startup, serviços de sistema, tarefas agendadas, LaunchAgents e cron jobs. No Windows, as chaves de registro `HKLM\Software\Microsoft\Windows\CurrentVersion\Run` e `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` são os vetores mais simples e frequentes. A pasta `%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup` também é amplamente abusada. Em Linux, `/etc/init.d/`, `/etc/cron.d/` e serviços systemd. Em macOS, LaunchAgents e LaunchDaemons. A telemetria requer monitoramento de todas as localizações de autostart conhecidas via Sysmon (Event ID 12/13/14 para registro, Event ID 11 para criação de arquivo em Startup), com alertas para adições por processos não-administrativos ou fora de janelas de manutenção. ## Indicadores de Detecção - Novo valor adicionado a `HKLM\Software\Microsoft\Windows\CurrentVersion\Run` por processo não-instalador - Arquivo PE ou script adicionado à pasta de Startup (`%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup`) - Serviço Windows criado com `sc creaté` ou `New-Service` por conta não-SYSTEM fora de deploy - Nova entrada em `/etc/cron.d/` ou crontab de usuário criada por processo de background - LaunchAgent plist adicionado em `~/Library/LaunchAgents/` por processo não pertencente a gerenciador de pacotes - Chave de Run/RunOnce aponte para executável em caminho temporário ou não convencional ## Técnicas Relacionadas - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[T1547.001-registry-run-keys|T1547.001 — Registry Run Keys / Startup Folder]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1037-boot-or-logon-initialization-scripts|T1037 — Boot or Logon Initialization Scripts]] ## Analytics Relacionadas - [[an0764-analytic-0764|AN0764 — Analytic 0764]] - [[an0765-analytic-0765|AN0765 — Analytic 0765]] - [[an0766-analytic-0766|AN0766 — Analytic 0766]] --- *Fonte: [MITRE ATT&CK — DET0274](https://attack.mitre.org/detectionstrategies/DET0274)*