# AN0250 — Analytic 0250 ## Descrição Esta analítica detecta uma cadeia comportamental envolvendo uso suspeito de `GetProcAddress` e `LoadLibrary` após alocação de memória e mapeamento manual, frequentemente associado a strings de baixa entropia, uso anômalo de API sem tabelas de importação estáticas ou comportamento de carregamento tardio de módulos. A telemetria inclui logs de chamadas de API de processo (via ETW, Sysmon ou EDR) e análise de padrões de carregamento de DLL. Esta detecção é fundamental para identificar técnicas de reflective DLL injection e carregamento manual de PE, amplamente utilizados por malwares de alto nível como Cobalt Strike e Metasploit. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1055-process-injection|T1055 — Process Injection]] - [[t1055-001-dynamic-link-library-injection|T1055.001 — Dynamic-link Library Injection]] - [[t1620-reflective-code-loading|T1620 — Reflective Code Loading]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN0250](https://attack.mitre.org/detectionstrategies/DET0091#AN0250)*