det0312-detect-active-setup-persistence-via-stubpath-execution

# DET0312 — Detect Active Setup Persistence via StubPath Execution ## Descrição Esta estratégia detecta o abuso do mecanismo Windows Active Setup para persistência, onde adversários criam ou modificam entradas em `HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\` com uma chave `StubPath` apontando para um payload malicioso. O Active Setup executa o StubPath de cada componente no contexto de cada usuário no login, tornando-o um mecanismo de persistência que afeta todos os usuários do sistema e é relativamente pouco monitorado. O mecanismo funciona comparando a versão do componente na chave HKLM com a versão na chave HKCU correspondente; se a versão HKLM for maior, o StubPath é executado no login do usuário e a versão HKCU é atualizada. Adversários criam novas entradas de componente com GUIDs aleatórios e StubPath apontando para scripts ou executáveis maliciosos em paths de usuário ou temp. A execução ocorre via `userinit.exe` durante o logon, tornando o processo pai parte da cadeia de inicialização legítima do Windows. Esta técnica foi documentada em ataques APT por seu perfil de baixo ruído. A detecção requer monitoramento de escrita em `HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\` (especialmente criação de novas subchaves com GUIDs não pertencentes a softwares conhecidos) e monitoramento de processos filhos de `userinit.exe` com linhas de comando incomuns. ## Indicadores de Detecção - Nova subchave criada em `HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\` com GUID não reconhecido - Valor `StubPath` apontando para binário em `%TEMP%`, `%APPDATA%` ou path de usuário em vez de `Program Files` - Processo filho de `userinit.exe` com linha de comando suspeita (scripts, PowerShell encodado) - Versão de componente Active Setup alterada (número de versão forçado para forçar re-execução) - `StubPath` contendo invocação de `powershell.exe`, `cmd.exe` ou `wscript.exe` com argumentos encodados - Processo executado via Active Setup (filho de `userinit.exe`) estabelecendo conexão de rede de saída ## Técnicas Relacionadas - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] ## Analytics Relacionadas - [[an0871-analytic-0871|AN0871 — Analytic 0871]] --- *Fonte: [MITRE ATT&CK — DET0312](https://attack.mitre.org/detectionstrategies/DET0312)*