# AN0052 — Analytic 0052 ## Descrição Detecta um processo (frequentemente LOLBin ou aplicativo iniciado pelo usuário) carregando uma DLL de caminho gravável/UNC/Temp ou com assinatura inválida/ausente, onde dentro de uma janela curta a DLL é recém-escrita em disco, executada via rundll32/regsvr32, ou estabelece comunicação de C2 de saída. A telemetria inclui eventos de carregamento de imagem (Sysmon Event ID 7), criação de arquivo em diretórios suspeitos e conexões de rede correlacionadas com carga de módulo. Esse analítico detecta DLL side-loading e hijacking, técnicas amplamente usadas por APTs como APT41, Turla e Lazarus Group para execução de código malicioso sob contexto de processos legítimos. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN0052](https://attack.mitre.org/detectionstrategies/DET0018#AN0052)*