det0552-detection-of-windows-service-creation-or-modification

# DET0552 — Detection of Windows Service Creation or Modification ## Descrição A criação e modificação de serviços Windows ([[t1543-003-windows-service|T1543.003 — Windows Service]]) é uma das técnicas mais utilizadas por adversários para estabelecer persistência e executar código com privilégios elevados (SYSTEM). Serviços Windows executam automaticamente na inicialização do sistema, sobrevivem a reboots e operam no contexto de segurança NT AUTHORITY\SYSTEM — tornando-os um vetor ideal para manutenção de acesso persistente. Adversários criam novos serviços apontando para binários maliciosos ou modificam o `ImagePath` de serviços existentes para redirecionar a execução. A detecção baseia-se em múltiplas fontes de telemetria. O Event ID 7045 (System log) registra toda criação de novo serviço, incluindo o nome, caminho do binário, tipo de inicialização e conta de execução. O Event ID 4697 (Security log, requer auditoria habilitada) fornece informação similar com contexto de segurança adicional. Modificações no registro (`HKLM\SYSTEM\CurrentControlSet\Services\`) detectadas via Sysmon Event ID 13 (Registry Value Set) capturam alterações no `ImagePath`, `Start` type e `ObjectName` de serviços existentes. A execução de `sc.exe creaté`, `sc.exe config` ou `New-Service` em PowerShell por processos não-administrativos é altamente suspeita. No contexto brasileiro e latino-americano, grupos de ransomware como [[lockbit|LockBit]] e [[blackcat|BlackCat/ALPHV]] utilizam extensivamente a criação de serviços para persistência em redes corporativas comprometidas. Banking trojans brasileiros como [[s0531-grandoreiro|Grandoreiro]] e variantes de [[guildma|Guildma]] também instalam serviços para garantir persistência em endpoints financeiros. A monitoração de serviços criados com binários em caminhos atípicos (`%TEMP%`, `%APPDATA%`, `C:\Users\Public\`) e com nomes genéricos que imitam serviços legítimos é um controle fundamental para SOCs na região. ## Indicadores de Detecção - Event ID 7045 com `ImagePath` apontando para diretório atípico (`%TEMP%`, `%APPDATA%`, `C:\Users\Public\`, `C:\ProgramData\` fora de subpastas de vendors conhecidos) - Criação de serviço com `ServiceType` = `own process` e `StartType` = `auto start` por processo diferente de instaladores legítimos (MSI, setup.exe) - Execução de `sc.exe creaté` ou `sc.exe config` por processo filho de `cmd.exe` ou `powershell.exe` em sessão de usuário não-administrativo - Modificação do valor `ImagePath` em `HKLM\SYSTEM\CurrentControlSet\Services\` (Sysmon Event ID 13) para binário diferente do original - Serviço criado com nome similar a serviço legítimo do Windows (ex: `svchost`, `WinDefender`, `WindowsUpdaté`) mas com caminho de binário não-padrão - Serviço com `ObjectName` configurado para conta `LocalSystem` criado fora do processo de instalação de software (sem evento MSI correspondente) ## Técnicas Relacionadas - [[t1543-003-windows-service|T1543.003 — Windows Service]] — técnica principal coberta por esta estratégia - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] — família de persistência via processos de sistema - [[t1569-002-service-execution|T1569.002 — Service Execution]] — execução de código via serviços Windows - [[t1112-modify-registry|T1112 — Modify Registry]] — modificação do registro para alterar configuração de serviços - [[t1036-masquerading|T1036 — Masquerading]] — serviços maliciosos que imitam nomes de serviços legítimos ## Analytics Relacionadas - [[an1527-analytic-1527|AN1527 — Analytic 1527]] --- *Fonte: [MITRE ATT&CK — DET0552](https://attack.mitre.org/detectionstrategies/DET0552)*