# AN0074 — Analytic 0074 ## Descrição Detecta modificações correlacionadas no registro sob o caminho de Print Processors, seguidas de criação de arquivo DLL no diretório de processadores de impressão do sistema e carregamento da DLL por spoolsv.exe, com execução maliciosa frequentemente ocorrendo durante reinicialização de serviço ou boot do sistema com privilégios SYSTEM. A telemetria inclui modificações de registro em HKLM\SYSTEM\CurrentControlSet\Control\Print\Environments, criação de arquivo DLL em %SystemRoot%\System32\spool\prtprocs\ e eventos de carregamento de módulo (Sysmon Event ID 7) pelo processo spoolsv.exe. Esse analítico detecta abuse do Print Processor para persistência no Windows, uma técnica usada por ransomware e APTs pois fornece execução com privilégios SYSTEM que persiste entre reinicializações sem necessidade de outros mecanismos de autorun. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1055-process-injection|T1055 — Process Injection]] --- *Fonte: [MITRE ATT&CK — AN0074](https://attack.mitre.org/detectionstrategies/DET0026#AN0074)*