det0279-detection-strategy-for-system-services-across-os-platforms

# DET0279 — Detection Strategy for System Services across OS platforms. ## Descrição Esta estratégia abrange a detecção de abuso de serviços do sistema operacional para execução de código malicioso e persistência em Windows, Linux e macOS. Adversários criam novos serviços, modificam serviços existentes ou exploram serviços vulneráveis para executar payloads com privilégios elevados (SYSTEM/root) e garantir reinicialização automática. No Windows, os indicadores incluem criação de serviços via `sc.exe`, `New-Service` ou diretamente via registro em `HKLM\SYSTEM\CurrentControlSet\Services`, especialmente com binários em paths não convencionais ou com descrições genéricas. No Linux, criação de unit files systemd suspeitos em `/etc/systemd/system/` ou modificação de `init.d` scripts. No macOS, LaunchDaemons ou LaunchAgents com executáveis não assinados são sinais de alerta. A telemetria de eventos Windows (Event ID 7045 — novo serviço instalado, 7040 — mudança de tipo de início) combinada com monitoramento de criação de arquivos em diretórios de serviço fornece cobertura robusta. Grupos como [[g0016-apt29|APT29]] e [[g0032-lazarus-group|Lazarus Group]] são conhecidos por abusar de serviços legítimos para side-loading de DLLs maliciosas. ## Indicadores de Detecção - Windows Event ID 7045: novo serviço criado com binário em `%TEMP%`, `%APPDATA%` ou paths de usuário - Serviço criado com nome que imita serviços legítimos (typosquatting, ex: `svchost32`) - Binário de serviço sem assinatura digital ou com assinatura inválida - Unit file systemd criado em `/etc/systemd/system/` por processo não root legítimo - LaunchDaemon macOS com `RunAtLoad: true` e binário em path não padrão - Modificação de ImagePath de serviço existente para apontar para novo executável ## Técnicas Relacionadas - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1569-system-services|T1569 — System Services]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1036-masquerading|T1036 — Masquerading]] ## Analytics Relacionadas - [[an0778-analytic-0778|AN0778 — Analytic 0778]] - [[an0779-analytic-0779|AN0779 — Analytic 0779]] - [[an0780-analytic-0780|AN0780 — Analytic 0780]] --- *Fonte: [MITRE ATT&CK — DET0279](https://attack.mitre.org/detectionstrategies/DET0279)*