det0571-detection-of-system-process-creation-or-modification-across-platforms

# DET0571 — Detection of System Process Creation or Modification Across Platforms ## Descrição A criação ou modificação de processos de sistema ([[t1543-create-or-modify-system-process|T1543]]) é uma técnica de persistência que adversários utilizam para garantir que código malicioso execute com privilégios elevados de forma automática. No Windows, isso inclui criação de serviços (`sc.exe creaté`, `New-Service`) e modificação de serviços existentes para apontar para binários maliciosos. Em Linux, envolve criação de systemd units, SysV init scripts e modificação de serviços de sistema. Em macOS, LaunchDaemons e LaunchAgents no contexto de sistema são os alvos. A detecção cobre múltiplas plataformas por necessidade: adversários de movimento lateral frequentemente pivotam entre sistemas Windows e Linux no mesmo ambiente corporativo, utilizando a técnica adaptada a cada SO alvo. Frameworks de C2 como Cobalt Strike, Sliver e Metasploit incluem módulos nativos para criação de serviços como mecanismo de persistência pós-comprometimento. Grupos como [[g0046-fin7]] e [[conti]] utilizam rotineiramente essa técnica. A criação de serviço com executável em path não-padrão (fora de `C:\Windows\System32\`, `/usr/bin/`, `/sbin/`), com descrição vazia ou genérica, ou que execute imediatamente após a criação sem reinicialização são indicadores de alta fidelidade. Monitorar Event ID 7045 (novo serviço instalado) no Windows e criação de arquivos `.service` em diretórios systemd no Linux são abordagens complementares. ## Indicadores de Detecção - Event ID 7045 (Windows) — novo serviço criado com executável em path não-padrão - `sc.exe creaté` executado por processo filho de script ou interpretador de comandos - Arquivo `.service` criado em `/etc/systemd/system/` por processo não-administrativo - `launchctl load` em macOS com plist de fonte não-Apple em `/Library/LaunchDaemons/` - Serviço modificado via `sc.exe config` para apontar para executável diferente - Serviço com nome genérico ou aleatório iniciado imediatamente após criação ## Técnicas Relacionadas - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[T1543.003-create-or-modify-system-process-windows-service|T1543.003 — Windows Service]] - [[T1543.001-create-or-modify-system-process-launch-agent|T1543.001 — Launch Agent]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1036-masquerading|T1036 — Masquerading]] ## Analytics Relacionadas - [[an1575-analytic-1575|AN1575 — Analytic 1575]] - [[an1576-analytic-1576|AN1576 — Analytic 1576]] - [[an1577-analytic-1577|AN1577 — Analytic 1577]] - [[an1578-analytic-1578|AN1578 — Analytic 1578]] --- *Fonte: [MITRE ATT&CK — DET0571](https://attack.mitre.org/detectionstrategies/DET0571)*