# AN0341 — Analytic 0341 ## Descrição Detecta correlação comportamental de criação de chave de registro privilegiada sob `HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders` combinada com escrita de nova DLL em disco e atividade de processo pelo serviço LocalService, indicando abuso de Time Providers para persistência. A telemetria inclui eventos de registro do Sysmon (Event ID 13), carregamento de módulos e logs de criação de processos de sistema. Essa analítica é importante porque o mecanismo de Time Providers do Windows é frequentemente explorado por adversários avançados para carregar DLLs maliciosas com privilégios de sistema de forma discreta. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] --- *Fonte: [MITRE ATT&CK — AN0341](https://attack.mitre.org/detectionstrategies/DET0122#AN0341)*