det0421-detection-strategy-for-system-services-service-execution

# DET0421 — Detection Strategy for System Services Service Execution ## Descrição Adversários abusam do gerenciador de serviços do Windows (SCM — Service Control Manager) para executar comandos e binários maliciosos como serviços do sistema, obtendo execução persistente e frequentemente com privilégios SYSTEM. Isso pode ser feito via criação de novos serviços (`sc creaté`), modificação de serviços existentes para apontar para executáveis maliciosos, ou uso de ferramentas como `PsExec` que automatizam esse processo para execução remota. A execução via serviços é especialmente eficaz em movimento lateral: ferramentas como `PsExec`, `wmiexec` do [[s0357-impacket]] e o módulo `psexec` do [[metasploit]] utilizam esse mecanismo para executar comandos em hosts remotos autenticando via SMB. O serviço é criado, o comando executado, e o serviço removido em sequência, deixando janela de detecção limitada nos logs de eventos do Windows. A detecção foca no monitoramento de Event ID 7045 (serviço instalado) e 4697 (serviço instalado — auditoria de segurança), especialmente para serviços com nomes aleatórios, executáveis em caminhos temporários, ou que são instalados e removidos em curto intervalo. A correlação com Event ID 4624 de autenticação de rede e posterior criação de serviço no mesmo host é a cadeia clássica de detecção de PsExec. ## Indicadores de Detecção - Event ID 7045: instalação de serviço com executável em `%TEMP%`, `%APPDATA%` ou raiz do sistema de arquivos - Serviço com nome gerado aleatoriamente (padrão de caracteres sem significado semântico) - Serviço instalado e removido em menos de 5 minutos (padrão de execução única via PsExec) - Cadeia: autenticação SMB (Event 4624 Tipo 3) → instalação de serviço no mesmo host em < 30s - `sc.exe` ou `services.exe` criando serviço apontando para arquivo em locais não-padrão ## Técnicas Relacionadas - [[T1569002-service-execution|T1569.002 — Service Execution]] - [[t1569-system-services|T1569 — System Services]] - [[T1543003-windows-service|T1543.003 — Windows Service]] - [[T1021002-smb-windows-admin-shares|T1021.002 — SMB/Windows Admin Shares]] - [[t1570-lateral-tool-transfer|T1570 — Lateral Tool Transfer]] ## Analytics Relacionadas - [[an1185-analytic-1185|AN1185 — Analytic 1185]] --- *Fonte: [MITRE ATT&CK — DET0421](https://attack.mitre.org/detectionstrategies/DET0421)*