det0365-detect-registry-and-startup-folder-persistence-windows

# DET0365 — Detect Registry and Startup Folder Persistence (Windows) ## Descrição O mecanismo de inicialização automática via registro do Windows e pastas de startup é um dos vetores de persistência mais comuns e amplamente explorados por malware. Chaves como `HKCU\Software\Microsoft\Windows\CurrentVersion\Run`, `HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce`, e as pastas `%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup` permitem que qualquer programa sejá executado automaticamente no login do usuário ou na inicialização do sistema. Famílias de malware como [[s0367-emotet|Emotet]], [[AgentTesla]], e ransomware como [[lockbit|LockBit]] utilizam esses mecanismos para garantir resiliência. A detecção eficaz requer monitoramento em tempo real de modificações nas chaves de registro Run/RunOnce e criação de arquivos nas pastas de startup. A correlação com o processo que realizou a modificação é essencial para distinguir instalações legítimas de software de persistência maliciosa. Modificações realizadas por processos incomuns (scripts, documentos Office executando macros, processos de baixa reputação) são fortemente indicativas de atividade maliciosa. A estratégia combina telemetria Sysmon (Event ID 13 para modificação de registro, Event ID 11 para criação de arquivo) com análise de reputação do executável referênciado, verificação de assinatura digital, e correlação com eventos de network ou process injection ocorridos nos segundos anteriores à modificação da chave. ## Indicadores de Detecção - Escrita em `HKCU\Software\Microsoft\Windows\CurrentVersion\Run*` por processo não-instalador - Criação de `.lnk`, `.bat`, `.vbs`, `.ps1` ou executável em `%APPDATA%\...\Startup\` - Valor de registro Run apontando para arquivo em `%TEMP%`, `%APPDATA%` ou path de usuário - Processo realizando modificação de chave Run sem elevação ou privilégio administrativo - Entrada Run referênciando comando PowerShell com encoding ou download de URL - Arquivo na pasta Startup sem assinatura digital ou de publisher desconhecido ## Técnicas Relacionadas - [[T1547001-registry-run-keys-startup-folder|T1547.001 — Registry Run Keys / Startup Folder]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[T1059005-visual-basic|T1059.005 — Visual Basic]] - [[T1204002-malicious-file|T1204.002 — Malicious File]] ## Analytics Relacionadas - [[an1032-analytic-1032|AN1032 — Analytic 1032]] --- *Fonte: [MITRE ATT&CK — DET0365](https://attack.mitre.org/detectionstrategies/DET0365)*