# AN0118 — Analytic 0118 ## Descrição Detecta o abuso de verclsid.exe para executar objetos COM monitorando criação de processo, argumentos de CLSID, DLLs ou mecanismos de script carregados em memória, e conexões de saída quando o CLSID aponta para conteúdo SCT/HTA remoto. A telemetria inclui logs do Sysmon (Event ID 1 para execução de verclsid.exe com argumentos, Event ID 3 para conexões de rede, Event ID 7 para carregamento de DLL), e correlação com chaves de registro COM que podem ter sido adulteradas. Este analítico é relevante porque verclsid.exe é um binário assinado pela Microsoft que pode ser abusado para contornar restrições de AppLocker e executar payloads remotos sem alarmar controles de whitelisting tradicionais. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1559-inter-process-communication|T1559 — Inter-Process Commúnication]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] --- *Fonte: [MITRE ATT&CK — AN0118](https://attack.mitre.org/detectionstrategies/DET0042#AN0118)*