# T1543.003 - Windows Service ## Técnica Pai Esta é uma sub-técnica de [[t1543-create-or-modify-system-process|T1543 - T1543 - Creaté or Modify System Process]]. ## Descrição Os Serviços do Windows são componentes fundamentais do sistema operacional, responsáveis por executar processos em segundo plano - desde antivírus até serviços de rede e autenticação. Por design, eles iniciam automaticamente na inicialização do sistema e geralmente rodam com altos privilégios. Exatamente por isso, criar ou modificar um serviço Windows é um dos mecanismos de persistência mais robustos disponíveis para um atacante: o payload malicioso é reiniciado automaticamente sempre que o sistema é ligado, sobrevivendo a reinicializações e muitas ferramentas de limpeza superficiais. Um adversário com privilégios de administrador pode instalar um novo serviço usando `sc.exe`, modificar diretamente a chave de registro `HKLM\SYSTEM\CurrentControlSet\Services\`, ou chamar funções da Windows API como `CreateServiceW()`. O serviço pode apontar para um binário malicioso, um script, ou até um driver (`.sys`) para técnicas mais avançadas como [[t1014-rootkit|Rootkit]] ou BYOVD (*Bring Your Own Vulnerable Driver*), usada em ataques de escalada de privilégios via [[t1068-exploitation-privilege-escalation|Exploitation for Privilege Escalation]]. A técnica pertence à família [[t1543-create-or-modify-system-process|T1543 - Creaté or Modify System Process]]. Para dificultar a detecção, grupos experientes como [[g0096-apt41|APT41]] e [[g0102-conti-group|Wizard Spider]] nomeiam seus serviços maliciosos imitando componentes legítimos do Windows (ex.: `WindowsUpdateSvc`, `svchost32`) - técnica complementar conhecida como [[t1036-004-masquerade-task-or-service|Masquerade Task or Service]]. Também é possível criar serviços "ocultos" usando `sc sdset` com descritores SDDL que removem a visibilidade para ferramentas padrão de enumeração como `Get-Service` e `sc query`, implementando [[t1564-hide-artifacts|Hide Artifacts]]. **Contexto Brasil/LATAM:** Ransomwares que operam intensamente no Brasil, como o [[cuba|Cuba]] e o [[s0612-wastedlocker|WastedLocker]] (operado por [[g0102-conti-group|Wizard Spider]]), utilizam criação de serviços Windows como mecanismo de persistência e para executar o processo de cifragem com privilégios SYSTEM. O grupo [[g0082-apt38|APT38]], vinculado à Coreia do Norte e ativo em ataques ao sistema financeiro SWIFT - incluindo bancos na América Latina - também registrou uso desta técnica para manter acesso prolongado em ambientes comprometidos antes de realizar transferências fraudulentas. ## Attack Flow ```mermaid graph TB A[Acesso Inicial<br/>T1566 / T1190] --> B[Escalada de<br/>Privilégios] B --> C{{"T1543.003<br/>Cria Serviço<br/>Malicioso"}}:::highlight C --> D[Persistência<br/>entre reboots] C --> E[Execução como<br/>SYSTEM] D --> F[Movimento Lateral<br/>T1021] E --> F classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b ``` ## Como Funciona 1. **Preparação:** Após obter acesso com privilégios elevados (administrator ou SYSTEM), o atacante prepara o binário malicioso - geralmente dropado em diretórios com baixa visibilidade como `C:\Windows\Temp\`, `C:\ProgramData\` ou subdiretórios de aplicações legítimas. O nome do arquivo e do serviço é escolhido para mimetizar componentes do sistema operacional ou software instalado. 2. **Execução:** O serviço é criado via `sc.exe creaté [nome] binPath= "C:\caminho\malware.exe" start= auto`, via modificação direta do registro em `HKLM\SYSTEM\CurrentControlSet\Services\[nome]\`, ou programaticamente via `CreateServiceW()`. O parâmetro `start= auto` garante execução na inicialização. Para serviços de driver, o atacante usa `sc creaté` com `type= kernel` ou `PnPUtil.exe /add-driver`. O serviço pode ser iniciado imediatamente com `sc start [nome]` ou via [[t1569-002-service-execution|Service Execution]]. 3. **Pós-execução:** Com o serviço ativo, o atacante possui um canal de persistência que sobrevive a reboots e opera sob contexto SYSTEM - o nível de privilégio mais alto no Windows. A partir daí, o malware pode injetar em outros processos, realizar [[t1112-modify-registry|modificações no registro]], desabilitar o antivírus, ou aguardar silenciosamente por comandos do C2. Em ambientes corporativos, a criação de serviços idênticos em múltiplas máquinas via WMI ou SMB amplifica o alcance lateral. ## Detecção **Fontes de dados:** - **Windows Security Log:** Event ID **4697** - "A service was installed in the system" - log mais direto para criação de serviço - **System Log:** Event ID **7045** - "New Service Was Installed" - visível no log System mesmo sem auditoria avançada - **Sysmon Event ID 13** - Modificação de valores de registro em `HKLM\SYSTEM\CurrentControlSet\Services\` - **Sysmon Event ID 1** - Criação de processo `sc.exe` com argumentos `creaté`, `config` ou `start` - **EDR:** Monitorar binários assinados em caminhos incomuns sendo registrados como serviços; detectar discrepâncias entre nome do serviço e caminho do binário **Sigma Rule:** ```yaml title: Criação de Serviço Windows Suspeito id: windows-service-suspicious-creation status: experimental description: > Detecta criação de novo serviço Windows com binário em localização incomum ou com nome que imita componentes do sistema - indicativo de persistência maliciosa. logsource: product: windows service: system detection: new_service: EventID: 7045 suspicious_path: ImagePath|contains: - ‘\Temp\’ - ‘\AppData\’ - ‘\ProgramData\’ - ‘\Users\Public\’ suspicious_name: ServiceName|contains: - ‘svchost’ - ‘updaté’ - ‘defender’ - ‘windows’ condition: new_service and (suspicious_path or suspicious_name) falsepositives: - Instaladores legítimos de software que usam caminhos temporários - Software corporativo de atualização automática level: high tags: - attack.persistence - attack.t1543.003 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[m1040-behavior-prevention-on-endpoint\|M1040 - Behavior Prevention on Endpoint]] | Implantar EDR com detecção comportamental de criação de serviços. Soluções como Microsoft Defender for Endpoint, CrowdStrike e SentinelOne têm regras específicas para criação anômala de serviços com binários em caminhos suspeitos. | | [[m1028-operating-system-configuration\|M1028 - Operating System Configuration]] | Habilitar auditoria de criação de serviços (Event ID 4697 e 7045) via GPO em todos os servidores e workstations. Considerar AppLocker ou WDAC para bloquear execução de binários não autorizados como serviços. | | [[m1045-code-signing\|M1045 - Code Signing]] | Exigir assinatura de código para drivers e serviços via Windows Driver Signature Enforcement. Habilitar Secure Boot e HVCI (Hypervisor-Protected Code Integrity) para bloquear drivers maliciosos não assinados - mitigação efetiva contra ataques BYOVD. | | [[m1047-audit\|M1047 - Audit]] | Revisar periodicamente a lista de serviços instalados com `sc query type= all state= all` e comparar contra baseline conhecida. Automatizar alertas para novos serviços em produção. Investigar serviços com `ImagePath` apontando para caminhos de usuário. | | [[m1018-user-account-management\|M1018 - User Account Management]] | Limitar quais contas têm permissão para criar ou modificar serviços. Aplicar JEA (Just Enough Administration) para administradores. Monitorar uso de contas privilegiadas fora do horário de trabalho para criação de serviços. | ## Threat Actors - [[g0081-tropic-trooper|Tropic Trooper]] - cria serviços persistentes em ataques a governo e transporte em LATAM e Ásia - [[g1051-medusa-ransomware|Medusa Group]] - ransomware que usa serviço Windows para executar o processo de cifragem com permissões SYSTEM - [[g0105-darkvishnya|DarkVishnya]] - grupo financeiro que implantou serviços maliciosos em bancos do Leste Europeu via dispositivos físicos - [[g0143-aquatic-panda|Aquatic Panda]] - APT chinês que usa serviços para manter acesso prolongado em ambientes de telecomúnicações - [[g0082-apt38|APT38]] - operações SWIFT contra bancos latino-americanos; usa serviços para persistência de longo prazo antes da fraude - [[g0030-raspberry-typhoon|Lotus Blossom]] - grupo de espionagem chinês com histórico de uso de serviços falsos em campanhas governamentais - [[g0096-apt41|APT41]] - combina espionagem e crime financeiro; usa serviços nomeados como componentes legítimos do Windows - [[g0102-conti-group|Wizard Spider]] - operador do [[s0612-wastedlocker|WastedLocker]] e Ryuk; deploya ransomware como serviço Windows - [[g0108-blue-mockingbird|Blue Mockingbird]] - instala mineradores de criptomoeda como serviços Windows em servidores web - [[g0139-teamtnt|TeamTNT]] - grupo focado em cloud que também usa serviços Windows para persistência em ambientes híbridos ## Software Associado - [[s1090-nightclub|NightClub]] (malware) - backdoor que se instala como serviço Windows para persistência - [[s0604-industroyer|Industroyer]] (malware) - malware de ICS/SCADA que usa serviços para controlar componentes de infraestrutura crítica - [[s1044-funnydream|FunnyDream]] (malware) - backdoor APT que usa serviço Windows como mecanismo de sobrevivência - [[s0141-winnti-for-windows|Winnti for Windows]] (malware) - RAT do APT41 registrado como serviço de driver para furtividade - [[cuba|Cuba]] (malware) - ransomware ativo no Brasil que cria serviço para execução do payload de cifragem - [[s0204-briba|Briba]] (malware) - backdoor que instala serviço reverso para acesso remoto persistente - [[s1033-dcsrv|DCSrv]] (malware) - malware destrutivo que usa serviço para executar wiper no sistema - [[s0612-wastedlocker|WastedLocker]] (malware) - ransomware do Wizard Spider que opera como serviço Windows privilegiado - [[s0493-goldenspy|GoldenSpy]] (malware) - spyware embutido em software tributário chinês instalado como serviço oculto - [[s0180-volgmer|Volgmer]] (malware) - backdoor do Lazarus Group que persiste via criação de serviço no registro --- *Fonte: [MITRE ATT&CK - T1543.003](https://attack.mitre.org/techniques/T1543/003)*