# T1112 - Modify Registry ## Descrição O Registro do Windows (Windows Registry) é um banco de dados hierárquico que armazena configurações críticas do sistema operacional, aplicações e usuários. Adversários exploram essa estrutura para modificar entradas e alcançar objetivos variados - desde persistência e evasão de defesas até a facilitação de movimentação lateral. A técnica T1112 engloba qualquer interação maliciosa com o Registro que não se enquadre em subtécnicas mais específicas do MITRE ATT&CK. A modificação do Registro pode ser realizada por meio de ferramentas nativas do Windows, como o utilitário de linha de comando `reg.exe`, pelo editor gráfico `regedit`, por chamadas diretas à API do Windows (`RegSetValueEx`, `RegCreateKeyEx`) ou por ferramentas de acesso remoto que embarcam funcionalidade de manipulação do Registro. O acesso a chaves sensíveis depende de permissões da conta - algumas requerem privilégios de administrador, tornando essa técnica frequentemente combinada com escalonamento de privilégios. Os objetivos mais comuns incluem: ocultar payloads maliciosos usando [[t1027-obfuscated-files-or-information|Obfuscated Files or Information]], desabilitar mecanismos de defesa via [[t1562-impair-defenses|Impair Defenses]] (como habilitar macros para todos os produtos Microsoft Office), e modificar o sistema para armazenar credenciais em texto plano na memória. A manipulação remota do Registro é outro vetor relevante: adversários modificam o Registro de sistemas remotos para facilitar execução lateral, o que requer que o serviço Remote Registry estejá ativo no alvo, além de [[t1078-valid-accounts|Valid Accounts]] e acesso via [[Windows Admin Shares]] para comunicação RPC. Uma técnica adicional envolve a criação de "pseudo-hidden keys" - chaves com null byte no nome que são ignoradas por utilitários padrão como `regedit`, mas lidas corretamente por código malicioso, permitindo ocultar payloads e comandos de persistência de forma eficaz. **Contexto Brasil/LATAM:** No Brasil, grupos como [[ta505|TA505]] e [[g0091-silence|Silence]] utilizam modificações de Registro extensivamente em campanhas contra o setor financeiro - um dos alvos prioritários na região. A técnica é particularmente eficaz em ambientes corporativos brasileiros onde políticas de GPO são mal configuradas e o serviço Remote Registry permanece ativado por padrão. Ransomwares como [[s0457-netwalker|Netwalker]] e o grupo [[g1043-blackbyte|BlackByte]] empregam T1112 para desabilitar ferramentas de segurança antes de iniciar a criptografia, enquanto RATs como [[gh0st-rat|gh0st RAT]] e [[s0013-plugx|PlugX]] - amplamente usados em campanhas na América Latina - dependem do Registro para persistência e armazenamento de configurações de C2. ## Attack Flow ```mermaid graph TB A[Acesso Inicial] --> B[Execução] B --> C{T1112<br/>Modify Registry}:::active C --> D[Persistência] C --> E[Evasão de Defesas] C --> F[Movimentação Lateral] classDef active fill:#e74c3c,color:#fff,stroke:#c0392b ``` ## Como Funciona 1. **Preparação:** O adversário obtém execução no sistema-alvo - via phishing, exploração de vulnerabilidade ou acesso com credenciais válidas. Avalia permissões disponíveis: modificações em `HKLM\` requerem privilégios elevados, enquanto `HKCU\` é acessível a usuários comuns. Em casos de movimento lateral, verifica se o serviço Remote Registry está ativo no alvo. 2. **Execução:** A modificação é realizada por um dos seguintes métodos: - `reg add HKLM\Software\...\Run /v MalwareKey /t REG_SZ /d "C:\payload.exe"` - via linha de comando - Chamadas diretas à Win32 API (`RegSetValueEx`) - via código malicioso, evitando log de processo - PowerShell (`Set-ItemProperty`, `New-ItemProperty`) - para evasão de detecção baseada em `reg.exe` - Ativação de WDigest: `HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential = 1` para captura de credenciais em texto plano - Null-byte keys: nomes de chave com `\x00` prefixado criam entradas invisíveis para ferramentas convencionais 3. **Pós-execução:** O payload persiste através de reinicializações via chaves de `Run` ou serviços registrados. Credenciais são capturadas na próxima autenticação do usuário. Ferramentas de segurança são silenciadas pela modificação de suas chaves de configuração ou pela desativação de serviços de proteção via `HKLM\SYSTEM\CurrentControlSet\Services\`. ## Detecção **Fontes de dados:** - **Windows Event Log:** Event ID `4657` (modificação de objeto do Registro - requer SACL configurada) e `4663` (acesso a objeto de Registro) - **Sysmon:** Event ID `13` (RegistryEvent - SetValue), `12` (Creaté/Delete key), `14` (RenameKey) - cobertura ampla sem necessidade de SACL - **EDR:** Correlação de processos que executam `reg.exe` ou chamam `RegSetValueEx` a partir de processos suspeitos (Office, browsers, scripts de interpretador) - **PowerShell ScriptBlock Logging:** Event ID `4104` - captura chamadas a `Set-ItemProperty` e `New-ItemProperty` com parâmetros suspeitos **Sigma Rule:** ```yaml title: Suspicious Registry Modification via reg.exe id: a61b3b3f-9c4d-4e2a-b8f1-ef1234567890 status: experimental description: > Detecta modificações suspeitas no Registro via reg.exe, especialmente em chaves associadas a persistência, evasão de AV/EDR e captura de credenciais. logsource: category: process_creation product: windows detection: selection: Image|endswith: '\reg.exe' CommandLine|contains: - 'CurrentVersion\Run' - 'WDigest' - 'UseLogonCredential' - 'DisableAntiSpyware' - 'DisableRealtimeMonitoring' - 'SecurityProviders' - 'RemoteRegistry' condition: selection falsepositives: - Scripts legítimos de administração de sistemas - Deployments via GPO - Instaladores de software corporativo level: high tags: - attack.defense_evasion - attack.persistence - attack.t1112 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[m1024-restrict-registry-permissions\|M1024 - Restrict Registry Permissions]] | Aplicar ACLs restritivas em chaves críticas como `HKLM\SYSTEM\CurrentControlSet\Services` e chaves de `Run`. Usar GPO para bloquear modificações não autorizadas em chaves sensíveis. | | Desabilitar Remote Registry | Desativar o serviço `RemoteRegistry` em estações de trabalho que não necessitam de administração remota - especialmente relevante em ambientes brasileiros onde este serviço frequentemente permanece ativo por padrão. | | Auditoria de Registro | Configurar SACL (System Access Control Lists) nas chaves sensíveis e habilitar `Audit Object Access` via GPO para gerar Event ID 4657. Complementar com Sysmon Event IDs 12, 13 e 14. | | Monitoramento de WDigest | Alertar específicamente para qualquer modificação em `HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential` - indicador forte de preparação para credential dumping. | ## Threat Actors - [[g0010-turla|Turla]] - grupo russo de espionagem que usa modificações de Registro para persistência de implantes e ocultação de configurações de C2 - [[g0082-apt38|APT38]] - braço financeiro da Coreia do Norte, com operações documentadas contra bancos brasileiros e latino-americanos - [[g0040-patchwork|Patchwork]] - APT sul-asiático com histórico de uso de chaves de Registro para execução de RATs em alvos governamentais - [[g0119-indrik-spider|Indrik Spider]] - operador do Dridex, modifica Registro para persistência em ambientes bancários - [[g1051-medusa-ransomware|Medusa Group]] - grupo com operações documentadas no setor financeiro LATAM - [[g0091-silence|Silence]] - especializado em fraudes contra bancos, ativo no Brasil com múltiplas campanhas confirmadas - [[ta505|TA505]] - prolífico grupo de crime cibernético com campanhas extensivamente documentadas contra o Brasil - [[g0073-apt19|APT19]] - grupo chinês de espionagem corporativa - [[g1043-blackbyte|BlackByte]] - ransomware que usa T1112 para desabilitar EDR e AV antes de iniciar a criptografia - [[g0030-raspberry-typhoon|Lotus Blossom]] - APT com foco em governos e setor de defesa na Ásia e LATAM ## Software Associado - [[s0674-charmpower|CharmPower]] (malware) - backdoor que armazena configuração cifrada em chaves de Registro - [[s0013-plugx|PlugX]] (malware) - RAT chinês amplamente distribuído na LATAM com persistência via Registro - [[s0596-shadowpad|ShadowPad]] (malware) - plataforma modular com módulos plugin armazenados no Registro - [[s0457-netwalker|Netwalker]] (malware) - ransomware com histórico de campanhas contra organizações brasileiras - [[s0476-valak|Valak]] (malware) - loader que usa Registro para armazenar payloads de segundo estágio - [[s0240-rokrat|ROKRAT]] (malware) - RAT norte-coreano com persistência via Run keys - [[s0376-hoplight|HOPLIGHT]] (malware) - malware atribuído ao Lazarus Group com comunicação C2 via Registro - [[s0261-catchamas|Catchamas]] (malware) - infostealer com captura de credenciais via ativação de WDigest - [[gh0st-rat|gh0st RAT]] (malware) - RAT amplamente usado em campanhas na América Latina - [[s0242-synack|SynAck]] (malware) - ransomware com técnicas avançadas de evasão via Registro --- *Fonte: [MITRE ATT&CK - T1112](https://attack.mitre.org/techniques/T1112)*