Hack Alerta

RecoverIt: nova ferramenta explora função de recuperação de serviços do Windows

Por Redação Hack Alerta Publicado em 09/02/2026 08:03 Riscos e Ameaças Tempo de leitura: 3 min

A ferramenta RecoverIt modifica configurações de recuperação de serviços do Windows (FailureCommand/FailureActions) para executar payloads após falhas, evitando detecção que monitora apenas ImagePath. Detectar requer monitorar mudanças nessas chaves e processos-filhos de services.exe.

Resumo

Foi publicada uma ferramenta open‑source chamada RecoverIt que modifica configurações de recuperação de serviços do Windows para executar payloads quando um serviço falha, técnica que evita detecção focada em ImagePath.

Como funciona

RecoverIt altera programaticamente os parâmetros de recuperação de um serviço Windows — especificamente FailureCommand e FailureActions — para disparar a execução de um binário ou script quando o serviço alvo falhar. Diferentemente de técnicas clássicas que mudam o ImagePath/binPath, esta abordagem deixa o caminho do serviço intacto e usa o mecanismo legítimo de recuperação do Service Control Manager (services.exe) como vetor de execução.

Cenário demonstrado

O pesquisador que publicou a ferramenta destacou um cenário envolvendo o serviço UevAgentService (User Experience Virtualization Agent), que pode falhar imediatamente em hosts onde o serviço UE‑V está desabilitado. Explorar um serviço instável cria um gatilho confiável: quando o serviço falha, o SCM executa a ação de recuperação configurada, que pode ser um cmd.exe, PowerShell ou um beacon como Cobalt Strike.

Implicações para detecção

Como a chamada de execução é iniciada por um processo legítimo (services.exe) e não altera o ImagePath, muitas soluções e procedimentoss de monitoramento que focam apenas em mudanças de caminho ou binários suspeitos podem não detectar a alteração. Além disso, os logs padrão de falha de serviço registram a ocorrência de falha mas não necessariamente o programa que a ação de recuperação disparou no mesmo evento.

Evidências e fonte

A análise e a publicação da ferramenta foram reportadas pelo veículo Cyber Security News, que também cita o repositório do autor (TwoSevenOneT) como referência para o código e documentação. O material descreve a técnica, exemplos de uso e as implicações para defesa.

Detecção e mitigação recomendadas

  • Monitorar mudanças nas chaves de registro relacionadas a recovery de serviços: especificamente FailureCommand e FailureActions.
  • Correlacionar eventos de falha de serviço com processos-filhos lançados por services.exe; alertar se cmd, powershell ou binários não esperados aparecerem como filhos logo após uma falha.
  • Incluir configurações de recuperação de serviços no escopo de avaliações de integridade e de ferramentas de EDR/MDM, não apenas ImagePath.
  • Revisar serviços conhecidos por serem instáveis e minimizar serviços não utilizados para reduzir triggers confiáveis que atacantes podem explorar.

Observações finais

A publicação do RecoverIt evidencia que funcionalidades legítimas de administração de sistemas podem ser reutilizadas para evasão e persistência. Defesas devem evoluir do foco exclusivo em vetores conhecidos (alteração de ImagePath) para cobertura de configurações administrativas e comportamento de processos no momento de falhas de serviços.

Baseado em publicação original de Cyber Security News
Tags: #windows #persistence #services #edr #recoverit #servicesexe
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar