# T1546.002 - Screensaver
## Descrição
Adversários podem estabelecer persistência em sistemas Windows abusando do mecanismo de protetor de tela (screensaver), que é acionado automaticamente após um período configurável de inatividade do usuário. Protetores de tela são arquivos executáveis portáteis (PE) com extensão `.scr` - uma renomeação funcional de arquivos `.exe` - que são invocados pelo sistema operacional através do processo `winlogon.exe` quando o usuário permanece inativo por determinado tempo. O screensaver padrão do Windows (`scrnsave.scr`) fica localizado em `C:\Windows\System32\` e `C:\Windows\SysWOW64\` em sistemas 64-bit.
Essa técnica explora o fato de que as configurações do protetor de tela ficam armazenadas no registro do Windows, específicamente sob a chave `HKCU\Control Panel\Desktop\`. Por ser uma área de registro modificável pelo próprio usuário sem privilégios administrativos, adversários com qualquer nível de acesso ao sistema podem alterar essas configurações para apontar o executável do screensaver para um payload malicioso. Como o screensaver é executado pelo processo legítimo do Windows `winlogon.exe`, o processo malicioso herda um contexto de execução confiável, dificultando a detecção por soluções de segurança baseadas em análise de processo-pai.
A eficácia dessa técnica de persistência reside em sua natureza discreta e baseada em eventos: o malware só é executado quando o sistema fica inativo por tempo suficiente, o que frequentemente corresponde a períodos fora do horário de trabalho ou quando o usuário está ausente. Isso reduz a chance de detecção por comportamento anômalo observável pelo usuário, e o payload é executado no contexto do usuário logado - o que é suficiente para a maioria das operações de acesso inicial, coleta de dados e movimentação lateral em ambientes corporativos. O grupo [[g0010-turla|Turla]] (APT28 adjacente) e outros atores de espionagem utilizaram variantes dessa técnica, incluindo o malware [[s0168-gazer|Gazer]], que foi documentado configurando o protetor de tela como mecanismo de persistência em alvos diplomáticos europeus.
> **Técnica pai:** [[t1546-event-triggered-execution|T1546 - Event Triggered Execution]]
> **Táticas MITRE:** Persistence, Privilege Escalation
## Como Funciona
### Chaves de Registro Relevantes
O mecanismo de screensaver é controlado por quatro valores na chave `HKCU\Control Panel\Desktop\`:
| Valor | Tipo | Descrição | Valor Malicioso |
|-------|------|-----------|-----------------|
| `SCRNSAVE.exe` | REG_SZ | Caminho para o executável do screensaver | Caminho para payload `.scr` malicioso |
| `ScreenSaveActive` | REG_SZ | Habilita ou desabilita o screensaver | `1` (habilitado) |
| `ScreenSaverIsSecure` | REG_SZ | Exige senha para desbloquear após screensaver | `0` (sem senha) |
| `ScreenSaveTimeout` | REG_SZ | Segundos de inatividade antes de ativar | `60` (1 minuto - reduzido para ativação rápida) |
Um adversário modifica essas chaves para que o screensaver sejá habilitado, não exijá senha, tenha um timeout curto e aponte para um executável malicioso disfarçado como arquivo `.scr`. Na prática, qualquer executável PE renomeado para `.scr` funcionará corretamente, pois o Windows não válida a estrutura interna além do cabeçalho PE.
### Processo de Execução
Quando o timeout de inatividade é atingido, o `winlogon.exe` invoca o processo configurado em `SCRNSAVE.exe`. Se esse processo for um payload malicioso, ele é executado com as permissões do usuário atual e pode estabelecer comunicação C2, executar módulos adicionais ou realizar reconhecimento. O screensaver continua "ativo" na perspectiva do sistema até que o usuário retorne e mova o mouse ou pressione uma tecla, momento em que o processo pode terminar normalmente ou permanecer em segundo plano dependendo da implementação do malware.
### Variações Conhecidas
- **Arquivo `.scr` malicioso em diretório gravável:** O adversário copia o payload para `%TEMP%`, `%APPDATA%` ou outro diretório gravável e aponta a chave de registro para esse local.
- **Substituição do screensaver legítimo:** Em ambientes sem proteção de integridade de arquivo, o adversário pode substituir `scrnsave.scr` em `System32` diretamente (requer privilégios elevados).
- **Screensaver como dropper:** O arquivo `.scr` age como primeiro estágio, executa o payload principal em memória e termina imediatamente, dando ao usuário a ilusão de um screensaver que "falhou ao iniciar".
- **Combinação com [[t1027-obfuscated-files-or-information|ofuscação]]:** O binário `.scr` pode ser empacotado com UPX, Themida ou outros packers para evasão de antivírus.
## Attack Flow
```mermaid
graph TB
A["Acesso Inicial ao Sistema<br/>(phishing / exploit / acesso físico)"] --> B["Entrega do Payload .scr<br/>(download, dropper ou cópia local)"]
B --> C["Modificação do Registro<br/>HKCU\\Control Panel\\Desktop\\"]
C --> D["Configuração de Persistência<br/>SCRNSAVE.exe = payload.scr<br/>ScreenSaveActive = 1<br/>ScreenSaveTimeout = 60"]
D --> E["Aguarda Inatividade do Usuário<br/>(timeout configurado)"]
E --> F["winlogon.exe Executa<br/>Payload Malicioso como Screensaver"]
F --> G["Payload Estabelece Canal C2<br/>(beacon, reverse shell, etc.)"]
G --> H["Reconhecimento / Coleta<br/>/ Movimentação Lateral"]
H --> I["Exfiltração de Dados<br/>ou Instalação de Backdoor Secundário"]
E -->|"Usuário retorna"| E
```
## Exemplos de Uso
### Turla / Gazer - Espionagem em Alvos Diplomáticos (2017)
O grupo [[g0010-turla|Turla]], atribuído ao FSB russo, utilizou o backdoor [[s0168-gazer|Gazer]] (também chamado de WhiteBear) em campanhas de espionagem direcionadas a embaixadas e ministérios de relações exteriores na Europa Central e Oriental. O Gazer empregava o mecanismo de screensaver como um dos seus vetores de persistência, modificando a chave `SCRNSAVE.exe` no registro para apontar para um componente do malware disfarçado como arquivo `.scr`. A campanha foi documentada pela ESET em 2017 e demonstrou o uso sofisticado da técnica combinado com [[t1055-process-injection|injeção de processo]] e comunicação C2 criptografada.
### APT Grupos Focados em Governo e Diplomacia
Múltiplos grupos de APT com foco em espionagem governamental - incluindo atores vinculados à China e Coreia do Norte - foram documentados utilizando screensavers modificados como mecanismo de persistência secundário ou fallback. Esse padrão é particularmente comum quando o adversário busca manter acesso de longo prazo em workstations de diplomatas e funcionários governamentais, onde a presença de processos suspeitos pode chamar aténção, mas um screensaver que "parece não funcionar" raramente é investigado.
### Grupos de Crime Financeiro
Operadores de malware bancário voltados para o Brasil, incluindo famílias como [[s0531-grandoreiro|Grandoreiro]] e variantes de [[mekotio|Mekotio]], foram observados usando técnicas de persistência baseadas em registro similares. Embora não usem extensivamente a chave `SCRNSAVE.exe` específicamente, o padrão de modificar entradas de registro para execução por eventos do sistema é amplamente adotado pelo ecossistema de malware financeiro latino-americano.
## Detecção
### Regra Sigma - Modificação de Chave de Screensaver
```yaml
title: Screensaver Registry Key Modification with Suspicious Path
status: experimental
description: Detecta modificação da chave SCRNSAVE.exe para caminho fora de System32
logsource:
category: registry_set
product: windows
detection:
selection:
TargetObject|contains: "Control Panel\\Desktop\\SCRNSAVE.exe"
filter_legitimate:
Details|contains:
- "C:\\Windows\\System32\\"
- "C:\\Windows\\SysWOW64\\"
condition: selection and not filter_legitimate
falsepositives:
- Screensavers de terceiros instalados em diretório legítimo
- Software corporativo que gerencia screensavers
level: high
tags:
- attack.persistence
- attack.privilege_escalation
- attack.t1546.002
```
### Regra Sigma - Execução de Arquivo .scr por winlogon
```yaml
title: Suspicious .SCR File Execution via winlogon
status: experimental
description: Detecta execução de arquivo .scr fora de diretórios legítimos do Windows
logsource:
category: process_creation
product: windows
detection:
selection:
ParentImage|endswith: "winlogon.exe"
Image|endswith: ".scr"
filter_legitimate_paths:
Image|startswith:
- "C:\\Windows\\System32\\"
- "C:\\Windows\\SysWOW64\\"
condition: selection and not filter_legitimate_paths
falsepositives:
- Screensavers corporativos instalados em caminhos não-padrão
level: high
tags:
- attack.persistence
- attack.privilege_escalation
- attack.t1546.002
```
### Regra Sigma - Configuração de Timeout Curto
```yaml
title: Screensaver Timeout Set to Unusually Low Value
status: experimental
description: Detecta screensaver configurado com timeout muito curto, indicando possível preparação para execução maliciosa
logsource:
category: registry_set
product: windows
detection:
selection:
TargetObject|contains: "Control Panel\\Desktop\\ScreenSaveTimeout"
Details|re: "^[1-9][0-9]{0,2}
quot;
condition: selection
falsepositives:
- Políticas corporativas que configuram screensaver com timeout curto por segurança
level: medium
tags:
- attack.persistence
- attack.t1546.002
```
### Fontes de Dados para Detecção
| Fonte | Eventos Relevantes |
|-------|-------------------|
| Windows Registry | Modificações em `HKCU\Control Panel\Desktop\` |
| Sysmon Event ID 13 | Registry value set para SCRNSAVE.exe |
| Sysmon Event ID 1 | Criação de processo filho de `winlogon.exe` com extensão `.scr` |
| Windows Security Log | Event ID 4688 (process creation) com imagem `.scr` |
| EDR File Telemetry | Criação de arquivos `.scr` fora de diretórios do sistema |
## Mitigação
| ID | Mitigação | Descrição |
|----|-----------|-----------|
| [[m1038-execution-prevention\|M1038]] | Execution Prevention | Usar Application Control (AppLocker, Windows Defender Application Control) para bloquear execução de arquivos `.scr` fora de `C:\Windows\System32\` e `C:\Windows\SysWOW64\`. Criar regras de publisher ou path que impeçam binários desconhecidos de executar como screensaver. |
| [[m1042-disable-or-remove-feature-or-program\|M1042]] | Disable or Remove Feature or Program | Em ambientes corporativos onde screensavers não são necessários (ex: desktops com bloqueio de tela por GPO), desabilitar o mecanismo de screensaver via Group Policy: `User Configuration > Administrative Templates > Control Panel > Personalization > Enable Screen Saver = Disabled`. Isso elimina completamente o vetor de persistência. |
| [[m1054-software-configuration\|M1054]] | Software Configuration | Aplicar Group Policy para gerenciar configurações de screensaver centralmente, impedindo que usuários modifiquem a chave `SCRNSAVE.exe`. Configurar `Prevent changing screensaver` via GPO para remover controle do usuário sobre essas chaves. |
## Contexto Brasil/LATAM
No Brasil, essa técnica tem relevância particular em ambientes governamentais e corporativos que ainda operam com Windows 7/10 sem atualizações de segurança completas, onde controles de Application Control (AppLocker / WDAC) raramente estão implementados. Estações de trabalho em órgãos públicos, repartições diplomáticas e escritórios corporativos são alvos históricos de grupos de espionagem que exploram mecanismos de persistência baseados em registro - exatamente o perfil do [[g0010-turla|Turla]] e grupos similares.
O ecossistema de malware financeiro brasileiro, responsável por famílias como [[s0531-grandoreiro|Grandoreiro]], [[mekotio|Mekotio]] e [[guildma|Guildma]], usa amplamente técnicas de persistência baseadas em registro para sobreviver a reinicializações. Embora a chave `SCRNSAVE.exe` sejá menos comum nesse ecossistema do que `Run` e `RunOnce`, a técnica foi observada em campanhas de acesso inicial e reconhecimento de longo prazo.
A ausência de monitoramento de registro em muitas organizações brasileiras - onde a telemetria de EDR frequentemente não cobre todas as workstations - torna essa técnica especialmente eficaz. A detecção requer coleta de eventos de registro (Sysmon Event ID 13) combinada com correlação de criação de processos filhos de `winlogon.exe`, algo que demanda uma plataforma SIEM configurada específicamente para essas regras.
Para equipes de blue team no Brasil, a implementação de regras Sigma desta técnica em plataformas como Elastic SIEM, Splunk ou Microsoft Sentinel deve ser considerada uma detecção de alta prioridade, especialmente em ambientes com usuários de alto valor como executivos, advogados e pessoal de TI com acesso privilegiado.
## Software Associado
- [[s0168-gazer|Gazer]] (malware) - backdoor do Turla que usa screensaver como persistência
## Referências
- [[t1546-event-triggered-execution|T1546 - Event Triggered Execution]] - técnica pai
- [[g0010-turla|Turla]] - grupo APT que utilizou essa técnica via [[s0168-gazer|Gazer]]
- [[s0168-gazer|Gazer]] - backdoor documentado usando screensaver como mecanismo de persistência
- [[t1112-modify-registry|T1112 - Modify Registry]] - técnica complementar para modificação do registro
- [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - ofuscação do binário .scr
- [[t1055-process-injection|T1055 - Process Injection]] - frequentemente combinado após execução via screensaver
- [[m1038-execution-prevention|M1038 - Execution Prevention]] - mitigação via Application Control
- [[m1042-disable-or-remove-feature-or-program|M1042 - Disable or Remove Feature or Program]] - desabilitar screensaver via GPO
---
*Fonte: [MITRE ATT&CK - T1546.002](https://attack.mitre.org/techniques/T1546/002)*