# T1012 - Query Registry ## Descrição O Registro do Windows é um banco de dados hierárquico que armazena configurações do sistema operacional, preferências de usuário, informações sobre software instalado, chaves de inicialização automática e dados de segurança. É, essencialmente, o cérebro de configuração do Windows - e justamente por isso se torna um alvo prioritário para adversários na fase de reconhecimento interno. Após obter acesso a um sistema, grupos APT e operadores de ransomware frequentemente consultam o Registro para mapear o ambiente antes de decidir seus próximos passos. A operação é simples: usando a ferramenta nativa `reg.exe`, chamadas de API como `RegQueryValueEx`, ou scripts PowerShell, o adversário extrai informações sobre software de segurança instalado (antivírus, EDR), versões do sistema operacional, configurações de rede, credenciais armazenadas e até chaves de licença. Esse levantamento silencioso ajuda a determinar se o ambiente vale o esforço de uma operação completa, se há ferramentas de defesa que precisam ser neutralizadas (frequentemente combinado com [[t1562-001-disable-or-modify-tools|T1562.001]]) e quais são os caminhos de persistência disponíveis. A detecção é desafiadora porque `reg.exe` é uma ferramenta legítima do Windows, usada por administradores e softwares corporativos o tempo todo. O que diferencia o uso malicioso é o contexto: processo pai incomum, horário fora do expediente, sequência de queries cobrindo múltiplas hives (HKLM, HKCU, HKCR) em rápida sucessão, ou queries específicas a chaves associadas a produtos de segurança. **Contexto Brasil/LATAM:** A técnica é amplamente utilizada por operadores de ransomware que atacam o Brasil, especialmente grupos como [[g1043-blackbyte|BlackByte]] e afiliados de [[ransomware as a service|RaaS]] que mapeiam ambientes corporativos antes de cifrar dados. O [[g0050-apt32|APT32]] (OceanLotus), com histórico de operações contra empresas brasileiras e organizações governamentais na América Latina, utiliza Query Registry para identificar produtos de segurança e adaptar seus implantes em tempo real. O setor financeiro brasileiro é particularmente visado: banking trojans locais também consultam o Registro para detectar sandboxes e ambientes de análise, abortando a execução se identificarem ferramentas forenses. ## Attack Flow ```mermaid graph TB A[Acesso Inicial] --> B[Execução de Implante] B --> C{{"T1012<br/>Query Registry"}} C --> D[Mapeamento do Ambiente] D --> E[Ação - Lateral Movement / Ransomware] style C fill:#e74c3c,color:#fff ``` ## Como Funciona 1. **Preparação:** O adversário já possui execução de código no sistema-alvo (via phishing, exploit ou acesso legítimo comprometido). O implante ou script de reconhecimento é carregado, geralmente como parte de um framework C2 como [[s0154-cobalt-strike|Cobalt Strike]] ou ferramenta de pós-exploração. 2. **Execução:** O malware realiza queries ao Registro usando `reg query`, chamadas de API Win32 (`RegOpenKeyEx`, `RegQueryValueEx`) ou módulos PowerShell como `Get-ItemProperty`. Chaves de alto valor incluem: `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall` (software instalado), `HKLM\SYSTEM\CurrentControlSet\Services` (serviços - identifica EDRs), `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` (persistência existente), e chaves de VPN/RDP para mapear acesso remoto. 3. **Pós-execução:** Com o mapa do ambiente em mãos, o adversário decide: desabilitar ferramentas de segurança detectadas (T1562.001), ajustar o implante para evitar a solução de EDR identificada, ou escalar para movimento lateral se o ambiente parecer valioso. Os resultados das queries frequentemente são exfiltrados codificados (ex: via [[t1132-001-standard-encoding|T1132.001]]). ## Detecção **Fontes de dados:** - **Sysmon Event ID 13** (Registry Value Set) e **Event ID 12** (Registry Object Added/Deleted) - monitorar acesso a chaves críticas de segurança - **Sysmon Event ID 1** (Process Creation) - `reg.exe` invocado por processos pai incomuns (wscript.exe, mshta.exe, cmd.exe spawned por Office) - **Windows Event ID 4656 / 4663** - auditoria de acesso a objetos do Registro (requer habilitar Object Access Auditing) - **Windows Event ID 4688** - linha de comando de `reg.exe query` com hives sensíveis como alvo - **EDR telemetria** - sequência de queries a múltiplas chaves em intervalo < 5 segundos é forte indicador de automação maliciosa **Sigma Rule:** ```yaml title: Suspicious Registry Query for Security Software Enumeration id: b4c2d3e5-f6a7-8901-bcde-f23456789012 status: experimental description: > Detecta consultas ao Registro do Windows buscando informações sobre software de segurança instalado - padrão comum em T1012 para evasão de defesas. logsource: category: process_creation product: windows detection: selection_cmd: Image|endswith: - '\reg.exe' CommandLine|contains: - 'query' selection_keys: CommandLine|contains: - 'Uninstall' - 'CurrentControlSet\Services' - 'SOFTWARE\Policies\Microsoft' - 'SOFTWARE\Microsoft\Windows Defender' - 'Antivirus' - 'MalwareBytes' - 'CrowdStrike' - 'SentinelOne' selection_parent: ParentImage|endswith: - '\wscript.exe' - '\cscript.exe' - '\mshta.exe' - '\winword.exe' - '\excel.exe' condition: selection_cmd and (selection_keys or selection_parent) falsepositives: - Inventário legítimo de software por ferramentas de IT (SCCM, Lansweeper) - Scripts de onboarding corporativo level: medium tags: - attack.discovery - attack.t1012 ``` ## Mitigação T1012 não possui mitigações MITRE oficiais porque `reg.exe` e o acesso ao Registro são funcionalidades essenciais do Windows que não podem ser simplesmente bloqueadas. A defesa se concentra em detecção e restrição de contexto: | Mitigação | Recomendação Prática | |-----------|---------------------| | Auditoria de Registro | Habilitar auditoria de Object Access no GPO e monitorar acesso a chaves sensíveis (Defender, serviços de segurança, chaves de Run). Ferramentas como Sysmon simplificam isso via Event ID 12/13. | | Princípio do Mínimo Privilégio | Restringir quais usuários e processos podem acessar hives específicas. Usuários padrão não devem ter acesso de leitura a `HKLM\SYSTEM\CurrentControlSet\Services`. | | Detecção Comportamental | Configurar regras SIEM para alertar quando `reg.exe` é invocado por processos filhos de aplicações Office ou browsers - indica execução de payload malicioso. | | Isolamento de Endpoint | Usar Application Control (WDAC/AppLocker) para bloquear execução de `reg.exe` por processos não autorizados em estações sensíveis (como workstations de diretoria e servidores críticos). | ## Threat Actors - [[g0128-zirconium|ZIRCONIUM]] - grupo chinês (APT31) que usa Query Registry para mapear ambientes corporativos ocidentais e identificar alvos de alto valor antes de espionagem - [[g0027-threat-group-3390|Threat Group-3390]] - APT chinês (Iron Tiger) com foco em infraestrutura crítica; usa Registry Query para identificar software instalado e planejar movimento lateral - [[g0032-lazarus-group|Lazarus Group]] - grupo norte-coreano com campanhas financeiras globais; consulta Registro para detectar ambientes de análise (sandboxes) e ajustar comportamento do implante - [[g0050-apt32|APT32]] - OceanLotus, grupo vietnamita com histórico de operações no Brasil; usa Registry Query para identificar EDRs e desabilitá-los na sequência - [[g0035-dragonfly|Dragonfly]] - grupo russo com foco em energia e infraestrutura crítica; mapeia Registro para identificar sistemas SCADA e software de automação industrial - [[g0010-turla|Turla]] - grupo russo (FSB) que usa Registry Query para enumerar software instalado e encontrar caminhos de persistência em alvos governamentais - [[g0094-kimsuky|Kimsuky]] - grupo norte-coreano de espionagem que consulta Registro para obter informações de sistema antes de decidir quais módulos adicionais baixar - [[g0038-stealth-falcon|Stealth Falcon]] - grupo dos Emirados Árabes que usa Registry Query em campanhas de vigilância contra dissidentes e jornalistas - [[g0047-gamaredon|Gamaredon Group]] - grupo russo com foco na Ucrânia; usa queries automatizadas ao Registro como parte do reconhecimento inicial massivo - [[g1043-blackbyte|BlackByte]] - operador de ransomware que usa Registry Query para identificar e desabilitar ferramentas de segurança antes de cifrar dados ## Software Associado - [[s0091-epic|Epic]] - backdoor do [[g0010-turla|Turla]] que consulta Registro para identificar software instalado e adaptar comportamento - [[s1159-dusttrap|DUSTTRAP]] - malware de espionagem que usa Registry Query para mapear configurações de rede e proxies corporativos - [[s0589-sibot|Sibot]] - malware VBScript usado em operações do Nobelium que consulta Registro para determinar persistência - [[s0512-fatduke|FatDuke]] - backdoor sofisticado que usa Registry Query para fingerprinting de sistema antes de exfiltração - [[s0203-hydraq|Hydraq]] - malware da Operação Aurora que consultava Registro para identificar software de segurança nos alvos - [[s1064-svcready|SVCReady]] - loader que verifica chaves de Registro para detectar ambientes virtualizados (evasão de sandbox) - [[s0560-teardrop|TEARDROP]] - malware do ataque SolarWinds que usava Registry Query para mapear o ambiente antes de carregar Cobalt Strike - [[s0376-hoplight|HOPLIGHT]] - malware do [[g0032-lazarus-group|Lazarus Group]] que consulta Registro para coletar informações do sistema comprometido - [[s1019-shark|Shark]] - backdoor que usa Registry Query como parte do perfil inicial do sistema-alvo - [[s1180-blackbyte-ransomware|BlackByte Ransomware]] - consulta Registro para identificar e desabilitar serviços de backup e segurança antes da cifragem --- *Fonte: [MITRE ATT&CK - T1012](https://attack.mitre.org/techniques/T1012)*