# T1543 - Creaté or Modify System Process ## Descrição Adversários criam ou modificam processos de nível de sistema para executar cargas maliciosas de forma repetida como mecanismo de persistência. Sistemas operacionais modernos - Windows, macOS e Linux - iniciam processos em segundo plano durante a inicialização (*boot*) para realizar funções essenciais do sistema. Esses processos operam com privilégios elevados e são reiniciados automaticamente em caso de falha, características que os tornam alvos ideais para persistência de longo prazo. No Windows, esses processos são chamados de **serviços** e gerenciados pelo Service Control Manager (SCM). No Linux, os processos de sistema são gerenciados por sistemas de init como o **systemd** - referência à sub-técnica [[t1543-002-systemd-service|T1543.002 - Systemd Service]]. No macOS, o **launchd** é responsável por inicializar tanto processos de sistema ([[t1543-004-launch-daemon|Launch Daemons]]) quanto processos de usuário ([[t1543-001-launch-agent|Launch Agents]]). Em ambientes de container, adversários podem criar ou modificar serviços de container para garantir que cargas maliciosas sejam reiniciadas automaticamente - padrão coberto por [[t1543-005-container-service|T1543.005 - Container Service]]. Esta técnica é especialmente valorizada por adversários porque: - Processos de sistema sobrevivem a reinicializações do sistema operacional - São executados com privilégios elevados (SYSTEM no Windows, root no Linux/macOS) - Passam despercebidos em auditorias superficiais de processos em execução - Podem ser disfarçados com nomes que imitam serviços legítimos do sistema - A modificação de serviços existentes é ainda mais difícil de detectar que a criação de novos Além da persistência, esta técnica também é explorada para **escalada de privilégios**: serviços e daemons frequentemente executam com privilégios de root ou SYSTEM, permitindo que um adversário com acesso limitado eleve suas permissões ao criar um serviço malicioso. ## Sub-técnicas - [[t1543-001-launch-agent|T1543.001 - Launch Agent]] - [[t1543-002-systemd-service|T1543.002 - Systemd Service]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1543-004-launch-daemon|T1543.004 - Launch Daemon]] - [[t1543-005-container-service|T1543.005 - Container Service]] ## Attack Flow ```mermaid graph TB A([Adversário]) --> B{Sistema\nalvo} B --> C[Windows] B --> D[Linux] B --> E[macOS] B --> F[Container] C --> G[Criar/Modificar<br/>Windows Service<br/>via SCM ou sc.exe] D --> H[Criar unit file<br/>no systemd<br/>/etc/systemd/system/] E --> I[Instalar plist<br/>LaunchAgent ou<br/>LaunchDaemon] F --> J[Criar container service<br/>reiniciado automaticamente] G --> K{Objetivos} H --> K I --> K J --> K K --> L[Persistência após reboot<br/>Malware reinicia com o sistema] K --> M[Execução privilegiada<br/>SYSTEM / root] K --> N[Evasão de defesas<br/>Servico parece legítimo] L --> O([Comprometimento persistente]) M --> O N --> O ``` ## Detecção > [!warning] Fontes de dados e estrategias de detecção > > **Windows:** > - Event ID 7045 - Novo serviço instalado no sistema > - Event ID 4697 - Serviço instalado (auditoria de segurança) > - Monitorar chamadas às APIs `CreateService` e `ChangeServiceConfig` > - Verificar serviços com binários em locais incomuns (`%TEMP%`, `%APPDATA%`) > > **Linux:** > - Monitorar criação de arquivos em `/etc/systemd/system/` e `/lib/systemd/system/` > - Auditar uso de `systemctl enable` por usuários não privilegiados > - Verificar serviços sem correspondência no gerenciador de pacotes > > **macOS:** > - Monitorar adição de plists em `LaunchAgents/` e `LaunchDaemons/` > - Verificar plists com binários em caminhos fora do padrão do sistema > - Usar `launchctl list` para auditar serviços ativos > > **Containers:** > - Monitorar criação de novos serviços em ambientes Kubernetes/Docker > - Auditar mudanças em arquivos de definição de pod/deployment ## Mitigação | ID | Mitigação | Aplicação | |---|-----------|-----------| | M1018 | [[m1018-user-account-management\|M1018 - User Account Management]] | Limitar quais contas podem criar ou modificar serviços de sistema | | M1040 | [[m1040-behavior-prevention-on-endpoint\|M1040 - Behavior Prevention on Endpoint]] | Soluções EDR para bloquear criação de serviços suspeitos em tempo real | | M1033 | [[m1033-limit-software-installation\|M1033 - Limit Software Installation]] | Restringir instalação de software que possa registrar novos serviços | | M1026 | [[m1026-privileged-account-management\|M1026 - Privileged Account Management]] | PAM para controlar acesso a contas com permissão de gerenciar serviços | | M1028 | [[m1028-operating-system-configuration\|M1028 - Operating System Configuration]] | Configurar o sistema operacional para alertar sobre mudanças em serviços críticos | | M1047 | [[m1047-audit\|M1047 - Audit]] | Auditorias regulares de serviços instalados em servidores e estações | | M1054 | [[m1054-software-configuration\|M1054 - Software Configuration]] | Hardening de configurações de serviços de sistema - desabilitar serviços não utilizados | | M1022 | [[m1022-restrict-file-and-directory-permissions\|M1022 - Restrict File and Directory Permissions]] | Restringir permissões de escrita em diretórios de configuração de serviços | | M1045 | [[m1045-code-signing\|M1045 - Code Signing]] | Exigir assinatura de código para binários que são executados como serviços | ## Malware que Usa esta Técnica | Malware | Plataforma | Uso | |---------|-----------|-----| | [[s1152-imaploader\|IMAPLoader]] | Windows | Registra serviço persistente para carga de estágios adicionais | | [[s1194-akira-v2\|Akira v2]] | Windows/Linux | Cria serviços para garantir execução do ransomware após reinicialização | | [[s1184-boldmove\|BOLDMOVE]] | Linux | Instala backdoor como serviço systemd em appliances FortiGaté | | [[s0401-exaramel-for-linux\|Exaramel for Linux]] | Linux | Persiste como serviço systemd - associado ao grupo Sandworm | | [[s1121-littlelambwooltea\|LITTLELAMB.WOOLTEA]] | Linux | Backdoor que persiste via systemd em appliances de rede | | [[s1142-lunarmail\|LunarMail]] | Windows | Registra serviço persistente para operação de espionagem de longo prazo | ## Contexto LATAM > [!info] Relevância para o Brasil e América Latina > Esta técnica é amplamente usada por operadores de ransomware que afetam o Brasil - incluindo grupos que implantam variantes como [[s1194-akira-v2|Akira]]. A criação de serviços maliciosos é uma etapa do playbook de pós-exploração antes da criptografia de dados, garantindo que o ransomware possa ser reiniciado caso o processo sejá interrompido. Malware como [[s1184-boldmove|BOLDMOVE]], direcionado a appliances de rede comuns em infraestrutura corporativa da região, exemplifica o uso de serviços systemd como mecanismo de persistência persistente e difícil de detectar sem monitoramento especializado de endpoints Linux. --- *Fonte: MITRE ATT&CK - T1543 (v16.2)*