# AN0472 — Analytic 0472 ## Descrição Detecta adversários registrando um DLL de transport agent malicioso para Microsoft Exchange (assembly .NET), configurando-o via PowerShell ou Exchange Management Shell e persistindo execução de código manipulando a lógica de processamento de e-mail com base em regras ou cabeçalhos. A telemetria necessária inclui logs de auditoria do Exchange Server para registros e modificações de transport agents, PowerShell ScriptBlock Logging para comandos de gerenciamento de Exchange e monitoramento de carregamento de DLL pelo processo MSExchangeTransport para identificar assemblies não catalogados. Essa detecção é importante porque transport agents maliciosos como o MINERBITE e variantes permitem acesso persistente e coleta silenciosa de todos os e-mails processados pelo servidor Exchange sem deixar artefatos óbvios no sistema de arquivos. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1505-002-server-software-component-transport-agent|T1505.002 — Transport Agent]] - [[t1505-server-software-component|T1505 — Server Software Component]] - [[t1059-001-command-and-scripting-interpreter-powershell|T1059.001 — PowerShell]] - [[t1114-email-collection|T1114 — Email Collection]] --- *Fonte: [MITRE ATT&CK — AN0472](https://attack.mitre.org/detectionstrategies/DET0166#AN0472)*