det0280-behavior-based-registry-modification-detection-on-windows

# DET0280 — Behavior-Based Registry Modification Detection on Windows ## Descrição Esta estratégia foca na detecção de modificações comportamentais no registro do Windows associadas a técnicas de persistência, evasão de defesa e execução de código. O registro do Windows é um alvo frequente de adversários por sua capacidade de garantir persistência via Run keys, modificar configurações de segurança e armazenar payloads codificados em valores de registro. Os principais alvos de monitoramento incluem chaves de autorun (`HKCU\Software\Microsoft\Windows\CurrentVersion\Run`), chaves de configuração de imagem de arquivo (IFEO) usadas para hijacking de execução, modificações em políticas de AppLocker/WDAC, e alterações em chaves de serviços. A abordagem comportamental correlaciona quem modifica (processo pai, integridade), o que modifica (chave + valor específico) e quando (contexto temporal), reduzindo falsos positivos em relação a alertas puramente baseados em chave. Ferramentas de C2 como [[s0154-cobalt-strike|Cobalt Strike]] e [[Metasploit]] frequentemente modificam o registro para persistência e evasão. O monitoramento via Sysmon (Event IDs 12, 13, 14) ou Microsoft Defender for Endpoint fornece visibilidade granular necessária para esta estratégia. ## Indicadores de Detecção - Escrita em Run/RunOnce keys por processo com integridade baixa ou média - Modificação de IFEO (`HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options`) para inserir debugger malicioso - Valor de registro contendo script PowerShell ou comando encodado em Base64 - Alteração em chaves de política de segurança (`HKLM\SOFTWARE\Policies\Microsoft\Windows Defender`) - Processo não administrativo modificando `HKLM\SYSTEM\CurrentControlSet\Services` - Criação de valores de registro com dados binários suspeitos em locais não convencionais ## Técnicas Relacionadas - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] ## Analytics Relacionadas - [[an0781-analytic-0781|AN0781 — Analytic 0781]] --- *Fonte: [MITRE ATT&CK — DET0280](https://attack.mitre.org/detectionstrategies/DET0280)*