det0483-detection-of-system-service-discovery-commands-across-os-platforms

# DET0483 — Detection of System Service Discovery Commands Across OS Platforms ## Descrição A enumeração de serviços do sistema é uma atividade de reconhecimento pós-comprometimento que adversários utilizam para identificar serviços de segurança, ferramentas de monitoramento e aplicações alvos para desativação ou exploração. Em Windows, comandos como `sc query`, `net start`, `tasklist` e `Get-Service` (PowerShell) são usados para listar serviços em execução. Em Linux e macOS, `systemctl list-units`, `service --status-all` e `launchctl list` cumprem papel equivalente. Essa técnica é mapeada como [[t1007-system-service-discovery|T1007 — System Service Discovery]] no MITRE ATT&CK. A detecção requer correlação entre a execução desses comandos de enumeração e o contexto do processo pai, horário, usuário e host de origem. A execução de múltiplos comandos de descoberta em sequência rápida — especialmente seguida de tentativas de desabilitar serviços de segurança — é um forte indicador de atividade pós-comprometimento. Grupos APT e operadores de ransomware como [[lockbit|LockBit]] e [[blackcat|BlackCat/ALPHV]] realizam extensa enumeração de serviços antes de desabilitar EDRs e iniciar a fase de impacto. A estratégia é multi-plataforma: cobre Windows (Event ID 4688 com auditoria de linha de comando), Linux (auditd com regras para execução de comandos de enumeração) e macOS (unified log com predicados para `launchctl` e `systemctl`). A correlação entre enumeração de serviços e subsequentes tentativas de modificação ou desativação fornece alta fidelidade de detecção. ## Indicadores de Detecção - Execução de `sc query type= all`, `net start` ou `Get-Service` por processo não administrativo interativo - Múltiplos comandos de enumeração de serviços executados em sequência dentro de 60 segundos - `systemctl list-units --type=service` executado por usuário sem histórico de administração de sistemas - Enumeração de serviços seguida imediatamente de tentativa de parar ou desabilitar serviço de segurança - Script PowerShell ou Bash automatizando coleta de informações de serviços em múltiplos hosts via rede - `tasklist /svc` ou `wmic service list brief` executados por processos filhos de shells remotos (cmd, bash) - Enumeração de serviços em horário fora do expediente ou por conta de serviço não interativa ## Técnicas Relacionadas - [[t1007-system-service-discovery|T1007 — System Service Discovery]] - [[t1489-service-stop|T1489 — Service Stop]] - [[T1562.001-impair-defenses-disable-or-modify-tools|T1562.001 — Disable or Modify Tools]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1057-process-discovery|T1057 — Process Discovery]] ## Analytics Relacionadas - [[an1325-analytic-1325|AN1325 — Analytic 1325]] - [[an1326-analytic-1326|AN1326 — Analytic 1326]] - [[an1327-analytic-1327|AN1327 — Analytic 1327]] --- *Fonte: [MITRE ATT&CK — DET0483](https://attack.mitre.org/detectionstrategies/DET0483)*