# T1547.014 - Active Setup Técnica Pai: [[t1547-boot-logon-autostart-execution|T1547 - Execução na Inicialização]] ## Descrição O **Active Setup** é um mecanismo nativo do Windows responsável por configurar o ambiente de cada usuário na primeira vez que ele faz login no sistema - propagando configurações de componentes instalados em nível de máquina para o perfil individual do usuário. Adversários abusam desse mecanismo adicionando entradas maliciosas sob a chave de registro: ``` HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{GUID} ``` O campo `StubPath` dentro dessa chave define o programa que será executado quando um usuário fizer login. O Windows compara a versão registrada em `HKLM` com a versão armazenada em `HKCU`: se a versão em `HKLM` for maior, o `StubPath` é executado e a versão em `HKCU` é atualizada. Essa lógica permite que um adversário dispare a execução de payload **em cada novo login de usuário**, incluindo após reinicializações do sistema. A execução ocorre sob o contexto e as permissões do usuário logado - não requer privilégios elevados para o disparo, apenas para a escrita inicial da chave em `HKLM`. Combinado com técnicas de [[t1036-masquerading|Masquerading]], as entradas maliciosas podem ser camufladas para parecer componentes legítimos do sistema operacional ou de aplicativos instalados. ## Attack Flow ```mermaid graph TB A([Execução com Privilégio Elevado]) --> B[Escrita da Chave HKLM\Active Setup] B --> C[StubPath aponta para Payload] C --> D{Usuário faz Login} D --> E[Windows compara versão HKLM vs HKCU] E --> F{Versão HKLM maior?} F -->|Sim| G[StubPath executado no contexto do usuário] F -->|Não| H[Nenhuma ação] G --> I[Payload ativo / RAT estabelecido] I --> J[Versão HKCU atualizada - executa em próximos logins] ``` ## Detalhes Técnicos ### Estrutura da Chave de Registro ``` HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\ └── {GUID-falso-ou-legítimo}\ ├── (Padrão) = "Nome do Componente Legítimo" ├── StubPath = "C:\Users\Public\payload.exe" └── Version = "1,0,0,0" ``` O Windows utiliza o mesmo mecanismo para componentes reais como Internet Explorer, DirectX e .NET Framework. Uma entrada maliciosa com nome e GUID plausíveis passa facilmente por inspeção superficial. ### Comparação de Versão O Windows compara o campo `Version` da chave `HKLM` com a versão armazenada em `HKCU\Software\Microsoft\Active Setup\Installed Components\{GUID}`. Para garantir execução repetida, o adversário pode definir uma versão muito alta ou deletar a entrada correspondente em `HKCU` após cada execução do payload. ## Detecção ### Fontes de Dados Relevantes - **Registro do Windows:** monitorar criação e modificação de subchaves sob `HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\` - **Execução de Comandos:** correlacionar processos iniciados por `userinit.exe` com paths fora do esperado (`System32`, `Program Files`) - **Integridade de Baseline:** comparar periodicamente as entradas de Active Setup com um baseline aprovado do ambiente ### Indicadores Comportamentais - Criação de nova subchave GUID em `Active Setup\Installed Components` por processo não relacionado ao instalador de software - Campo `StubPath` apontando para `%TEMP%`, `%APPDATA%`, `%PUBLIC%` ou paths de rede - Processo filho de `userinit.exe` com nome mascarado como componente do sistema - Presença de [[s0012-poisonivy|PoisonIvy]] ou ferramentas de acesso remoto similares em paths referênciados pelo `StubPath` ## Mitigação | ID | Mitigação | Aplicação para T1547.014 | |----|-----------|--------------------------| | [[m1038-execution-prevention\|M1038]] | Prevenção de Execução | Listas de permissão de aplicativos (AppLocker / WDAC) impedem execução de payloads não assinados referênciados pelo StubPath | | [[m1017-user-training\|M1017]] | Treinamento de Usuários | Consciência sobre phishing e engenharia social reduz vetores de acesso inicial que precedem a instalação da persistência | ## Contexto Brasil/LATAM No Brasil e na América Latina, o mecanismo de Active Setup é frequentemente explorado por grupos de crime cibernético financeiro que operam trojans bancários com foco em instituições do setor [[financial|financeiro]]. Famílias de malware como [[mekotio|Mekotio]], [[s0531-grandoreiro|Grandoreiro]] e [[guildma|Guildma]] - todas com origem ou ampla atuação na América Latina - utilizam técnicas de persistência baseadas em chaves de registro do Windows, e algumas variantes documentadas abusam do Active Setup para garantir execução a cada login de usuário em ambientes corporativos Windows. A técnica é particularmente eficaz em empresas brasileiras de médio porte que ainda operam ambientes Windows sem controles robustos de [[m1038-execution-prevention|Application Whitelisting]] ou monitoramento de integridade do registro. Órgãos públicos estaduais e municipais no Brasil, com parques de máquinas heterogêneos e baixo nível de atualização de segurança, representam ambientes vulneráveis onde o Active Setup pode ser abusado por grupos como os operadores do [[s0012-poisonivy|PoisonIvy]] em campanhas de espionagem regional. Equipes de segurança devem manter um baseline auditado das chaves `HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\` e integrar alertas de modificação nessa árvore com soluções de SIEM, correlacionando com processos filhos anômalos de `userinit.exe`. ## Software Associado - [[s0012-poisonivy|PoisonIvy]] - RAT documentado utilizando Active Setup para persistência em campanhas de espionagem ## Relação com Outras Técnicas O Active Setup é frequentemente encadeado com: - [[t1078-valid-accounts|T1078 - Valid Accounts]] - credenciais válidas facilitam escrita da chave em `HKLM` - [[t1036-masquerading|T1036 - Masquerading]] - GUID e nome do componente imitam entradas legítimas - [[Logon Autostart Execution]] - técnica pai; outros sub-métodos usam Run Keys, Winlogon e Startup Folder --- *Fonte: MITRE ATT&CK - T1547.014 (v16.2)*