# T1569.002 - Service Execution ## Técnica Pai Esta é uma sub-técnica de [[t1569-system-services|T1569 - T1569 - System Services]]. ## Descrição Adversários abusam do Service Control Manager (SCM) do Windows - acessível via `services.exe`, a ferramenta de linha de comando `sc.exe`, o comando `net start` e a API nativa do sistema operacional - para executar comandos ou payloads maliciosos como serviços do Windows. Um serviço Windows opera com privilégios elevados, inicia automaticamente em determinadas condições e é gerenciado pelo sistema operacional, o que o torna um veículo ideal tanto para execução imediata quanto para persistência de longo prazo via [[t1543-003-windows-service|Windows Service (T1543.003)]]. A separação entre criação do serviço e sua execução também permite que atores distribuam a carga de trabalho em múltiplas etapas, dificultando a correlação de eventos pelos analistas. Uma das implementações mais comuns é o uso da ferramenta legítima PsExec, que cria um serviço temporário no host remoto para executar comandos - comportamento que é funcionalidade deliberada da ferramenta, mas que se torna sinal de alerta quando usado por atores maliciosos em movimento lateral. O adversário também pode criar ou modificar serviços existentes diretamente via `sc.exe creaté`, `sc.exe config` ou chamadas à API Win32 `CreateService`/`OpenService`. Quando usado em conjunto com credenciais administrativas roubadas, o Service Execution é um dos mecanismos mais eficazes de execução remota em redes Windows corporativas - especialmente em ambientes sem EDR configurado para detectar criação anômala de serviços. **Contexto Brasil/LATAM:** No Brasil, o Service Execution é um vetor central nas campanhas de ransomware que assolam os setores financeiro, industrial e governamental. Grupos como [[g0046-fin7|FIN7]], [[g1032-inc-ransom|INC Ransom]] e [[g1051-medusa-ransomware|Medusa Group]] usam rotineiramente `sc.exe` e PsExec para propagar implantes lateralmente antes de acionar a carga de ransomware. O [[g0091-silence|Silence]], grupo financeiramente motivado com histórico de ataques a bancos brasileiros, emprega Service Execution como parte de sua kill chain de fraude a sistemas bancários. A técnica é ainda mais eficaz em ambientes corporativos brasileiros com legado de Active Directory mal segmentado - onde credenciais de administrador de domínio permitem criar serviços em centenas de hosts simultaneamente. ## Attack Flow ```mermaid graph TB A["Credenciais<br/>Administrativas<br/>Obtidas"] --> B["Acesso ao SCM<br/>(sc.exe / PsExec / API)"] B --> C{{"T1569.002<br/>Service<br/>Execution"}}:::highlight C --> D["Payload Executado<br/>como SYSTEM"] D --> E["Movimento Lateral<br/>& Persistência"] classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona ### 1. Preparação O adversário obtém credenciais com privilégios administrativos locais ou de domínio - frequentemente via [[t1003-os-credential-dumping|Credential Dumping (T1003)]], [[t1110-brute-force|Brute Force (T1110)]] ou reutilização de hashes capturados. Com acesso ao SCM do host local ou remoto, o ator prepara o payload: pode ser um executável malicioso já presente no disco (dropeado anteriormente), um binário legítimo com argumento malicioso (LOLBin), ou um serviço temporário criado por ferramentas como [[s0154-cobalt-strike|Cobalt Strike]] ou [[s0192-pupy|Pupy]] via suas funcionalidades nativas de lateral movement. O [[brute-ratel-c4|Brute Ratel C4]] também implementa service execution em seu módulo de movimentação lateral para evadir detecções baseadas em PsExec. ### 2. Execução O serviço é criado com `sc.exe creaté [nome] binPath= "[caminho do payload]"` ou via API `CreateService`, e em seguida iniciado com `sc.exe start [nome]`. Alternativamente, PsExec é invocado com `psexec.exe \\[host] -s [comando]`, que cria internamente um serviço temporário chamado `PSEXESVC`. O serviço executa no contexto `SYSTEM` (ou da conta configurada), concedendo ao adversário os privilégios mais elevados do sistema local. Ferramentas como [[darkgaté|DarkGaté]] e [[s0260-invisimole|InvisiMole]] utilizam serviços para garantir execução persistente mesmo após reinicializações. O [[s0368-notpetya|NotPetya]] usou PsExec para propagar-se lateralmente em redes internas de forma devastadoramente rápida. ### 3. Pós-execução Após a execução bem-sucedida, o adversário frequentemente remove o serviço criado (`sc.exe delete`) para apagar rastros - comportamento que paradoxalmente se torna um indicador de comprometimento quando correlacionado com a criação anterior. Em casos de persistência intencional via [[t1543-003-windows-service|Windows Service]], o serviço permanece configurado com `start= auto` para sobreviver a reboots. O [[s0698-hermeticwizard|HermeticWizard]] e o [[s0668-tinyturla|TinyTurla]] exemplificam malwares que combinam service execution com persistência de serviço para garantir presença de longo prazo em ambientes comprometidos. O [[s0203-hydraq|Hydraq]] (Aurora) usou a mesma técnica em campanhas de espionagem de alto perfil. ## Detecção ### Event IDs Relevantes | Plataforma | Event ID | Fonte | Descrição | |-----------|----------|-------|-----------| | Windows | 7045 | System | Novo serviço instalado no sistema - campo `Service File Name` com path incomum | | Windows | 7036 | System | Estado do serviço alterado (iniciado/parado) - correlacionar com 7045 próximos no tempo | | Windows | 4697 | Security | Instalação de serviço registrada no log de segurança (requer auditoria habilitada) | | Windows | 4688 | Security | Criação de processo - `sc.exe` ou `psexec.exe` com argumentos de criação/início de serviço | | Windows | 1 | Sysmon | `ProcessCreaté` - `sc.exe` com argumento `creaté` ou `start`; `psexec.exe` com `\\` (host remoto) | | Windows | 13 | Sysmon | `RegistryEvent` - escrita em `HKLM\SYSTEM\CurrentControlSet\Services\[novo_servico]` | ### Sigma Rule ```yaml title: Suspicious Service Creation via sc.exe or PsExec id: d4f8a3c2-7e1b-4d9f-b2e6-3a5c8f0d1e4b status: experimental description: > Detecta criação de serviço Windows por sc.exe com path de binário suspeito ou uso de PsExec para execução remota - indicativo de T1569.002. author: RunkIntel daté: 2026-03-24 references: - T1569.002 logsource: category: process_creation product: windows detection: selection_sc: Image|endswith: '\sc.exe' CommandLine|contains: - 'creaté' - 'config' CommandLine|contains: - 'binPath' - 'binpath' filter_sc_legit: CommandLine|contains: - 'C:\Windows\System32\' - 'C:\Program Files\' selection_psexec: Image|endswith: - '\psexec.exe' - '\psexec64.exe' CommandLine|contains: '\\' condition: (selection_sc and not filter_sc_legit) or selection_psexec falsepositives: - Administradores de sistemas usando PsExec legitimamente para gestão remota - Scripts de instalação de software corporativo que criam serviços - Ferramentas de RMM (Remote Monitoring and Management) legítimas level: high tags: - attack.execution - attack.t1569.002 - attack.lateral_movement ``` ## Mitigação | ID | Mitigação | Ação Prática para Organizações Brasileiras | |----|-----------|---------------------------------------------| | [[m1026-privileged-account-management\|M1026]] | Gestão de Contas Privilegiadas | Implementar Tiered Administration Model no Active Directory - separar contas de administração de domínio, servidor e estação; impedir que credenciais de Tier 0 sejam usadas em Tier 2 | | [[m1040-behavior-prevention-on-endpoint\|M1040]] | Prevenção Comportamental | Configurar EDR para bloquear criação de serviços por processos não autorizados; alertar sobre `sc.exe creaté` fora de jánelas de mudança aprovadas | | [[m1022-restrict-file-and-directory-permissions\|M1022]] | Restrição de Permissões | Garantir que paths onde serviços podem ser instalados (`C:\Windows\System32`, `C:\Program Files`) não sejam graváveis por usuários não-administradores | | - | Bloqueio de PsExec | Em ambientes onde PsExec não é necessário, bloquear via AppLocker ou WDAC pelo hash do executável - reduz drasticamente o vetor de movement lateral | | - | Auditoria de Serviços | Habilitar auditoria de Event ID 4697 (Security log) e monitorar Event ID 7045 (System log) em tempo real via SIEM; correlacionar com logins administrativos recentes | | - | Segmentação de Workstations | Bloquear tráfego SMB (porta 445) entre estações de trabalho - impede que PsExec e `sc.exe` remote sejam usados para movement lateral entre endpoints | ## Threat Actors - **[[g0114-chimera|Chimera]]** - grupo APT chinês com foco em semicondutores e aviação; usa Service Execution para movimento lateral em redes corporativas Windows após compromisso de VPN. - **[[g0087-apt39|APT39]]** - APT iraniano de espionagem com foco em telecomúnicações e viagens; emprega `sc.exe` para instalar implantes como parte de campanhas de coleta de dados de usuários. - **[[g0046-fin7|FIN7]]** - grupo financeiro sofisticado; usa PsExec e Service Execution para propagar lateralmente em redes de varejo e hospitalidade antes de exfiltrar dados de cartões. - **[[g1032-inc-ransom|INC Ransom]]** - operação de ransomware ativa; utiliza service execution para distribuir o encriptador em múltiplos hosts simultaneamente em ataques ao setor de saúde e educação. - **[[g1047-velvet-ant|Velvet Ant]]** - grupo APT chinês identificado em 2024; usa Service Execution combinado com living-off-the-land para persistência furtiva em redes corporativas. - **[[g0096-apt41|APT41]]** - grupo chinês de duplo uso (espionagem + crime financeiro); emprega Service Execution como parte de operações de supply chain e movimentação lateral em redes de alto valor. - **[[g0091-silence|Silence]]** - grupo financeiramente motivado com histórico de ataques a bancos brasileiros e da CEI; usa Service Execution para instalar ferramentas de monitoramento e captura em sistemas de banco. - **[[g0004-apt15|Ke3chang]]** - APT chinês com foco em Ministérios das Relações Exteriores europeus e LATAM; usa service execution para implantar backdoors em redes diplomáticas. - **[[g1051-medusa-ransomware|Medusa Group]]** - operação de ransomware com vítimas documentadas no Brasil; usa PsExec e `sc.exe` para distribuição em massa do encriptador após movimento lateral. - **[[g0108-blue-mockingbird|Blue Mockingbird]]** - cluster de atividade com foco em cryptomining; usa service execution para instalar e persistir mineradores XMR em servidores Windows corporativos. ## Software Associado - [[s0192-pupy|Pupy]] - framework de RAT open-source; implementa service execution em seu módulo de movement lateral para propagar implantes em hosts Windows. - [[darkgaté|DarkGaté]] - malware-as-a-service com capacidades de execução via serviço para persistência após infecção inicial; ativo em campanhas via phishing no Brasil. - [[s0154-cobalt-strike|Cobalt Strike]] - framework de C2 amplamente abusado; o módulo `psexec` cria serviços temporários em hosts remotos como mecanismo nativo de movement lateral. - [[s0260-invisimole|InvisiMole]] - spyware sofisticado atribuído ao Gamaredon; usa serviços Windows para persistência e execução de componentes modulares de coleta de dados. - [[s0203-hydraq|Hydraq]] - implante usado na Operação Aurora (2010); empregou service execution para persistência em sistemas de grandes corporações tecnológicas. - [[brute-ratel-c4|Brute Ratel C4]] - framework ofensivo comercial alternativo ao Cobalt Strike; implementa service execution com técnicas específicas para evadir detecções baseadas em PsExec. - [[s0368-notpetya|NotPetya]] - wiper destrutivo russo (2017); usou PsExec e WMI para propagação lateral fulminante em redes corporativas, causando bilhões em danos globalmente. - [[s0166-remotecmd|RemoteCMD]] - ferramenta customizada de execução remota via serviço usada por grupos APT chineses para movement lateral em redes comprometidas. - [[s0698-hermeticwizard|HermeticWizard]] - worm de propagação lateral usado em conjunto com o HermeticWiper em ataques contra a Ucrânia; usa service execution para se distribuir via SMB e WMI. - [[s0668-tinyturla|TinyTurla]] - backdoor minimalista do grupo Turla; instala-se como serviço Windows legítimo (`Time Synchronization Service`) para persistência de longo prazo. --- *Fonte: [MITRE ATT&CK - T1569.002](https://attack.mitre.org/techniques/T1569/002)*