# AN0550 — Analytic 0550 ## Descrição Este analítico detecta abuso de aplicações ClickOnce no Windows, onde `rundll32.exe` invoca `dfshim.dll` com `ShOpenVerbApplication` ou `dfsvc.exe` gera processos filhos inesperados ou carrega módulos não assinados. A telemetria inclui eventos de criação de processos do Sysmon (Event ID 1) com foco em invocações de dfshim.dll, eventos de carregamento de imagem (Event ID 7) para DLLs não assinadas carregadas por dfsvc.exe, e logs de rede para conexões após a execução ClickOnce. O ClickOnce é uma tecnologia legítima de implantação .NET frequentemente abusada para entrega de payloads, pois aproveita a confiança implícita em aplicações assinadas digitalmente. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1559-inter-process-communication|T1559 — Inter-Process Commúnication]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1204-user-execution|T1204 — User Execution]] --- *Fonte: [MITRE ATT&CK — AN0550](https://attack.mitre.org/detectionstrategies/DET0191#AN0550)*