det0427-detection-strategy-for-hijack-execution-flow-through-service-registry-pr

# DET0427 — Detection Strategy for Hijack Execution Flow through Service Registry Permission Weakness ## Descrição Quando permissões de chaves de registro de serviços Windows são configuradas de forma excessivamente permissiva, usuários com privilégios limitados podem modificar a chave `ImagePath` de um serviço existente para apontar para um executável malicioso. Na próxima inicialização do serviço — que frequentemente ocorre no reboot do sistema ou automaticamente — o binário malicioso é executado com os privilégios do serviço original, que muitas vezes são de SYSTEM. A exploração tipicamente começa com a enumeração de serviços com permissões fracas usando ferramentas como `accesschk.exe` (Sysinternals), `PowerSploit` ou `winPEAS`. Serviços com chaves de registro que permitem escrita por usuários não-privilegiados (`Everyone`, `Authenticated Users`, `Users`) são candidatos à exploração. Essa é uma das técnicas mais comuns de escalada de privilégios local em testes de penetração de ambientes Windows corporativos. A detecção eficaz combina auditoria preventiva (identificar serviços com permissões fracas antes da exploração) com monitoramento reativo (detectar modificações não autorizadas em chaves de registro de serviços). Sysmon Event ID 13 para chaves em `HKLM\SYSTEM\CurrentControlSet\Services\` modificadas por usuários não-administrativos é o indicador primário. ## Indicadores de Detecção - Modificação do valor `ImagePath` em qualquer chave de serviço por processo não-SYSTEM ou não-administrativo - Sysmon Event ID 13 — escrita em `HKLM\SYSTEM\CurrentControlSet\Services\*\ImagePath` por usuário comum - Execução de `accesschk.exe` ou `winPEAS` por usuário não-administrador (ferramenta de enumeração de privilégios) - Serviço iniciando executável de caminho diferente do registrado antes da modificação (análise de diff) - Query massiva a permissões de chaves de registro de serviços (padrão de reconhecimento de escalada) ## Técnicas Relacionadas - [[T1574011-services-registry-permissions-weakness|T1574.011 — Services Registry Permissions Weakness]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[T1543003-windows-service|T1543.003 — Windows Service]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] ## Analytics Relacionadas - [[an1195-analytic-1195|AN1195 — Analytic 1195]] --- *Fonte: [MITRE ATT&CK — DET0427](https://attack.mitre.org/detectionstrategies/DET0427)*