# AN0558 — Analytic 0558 ## Descrição Este analítico detecta execução de `control.exe` ou `rundll32.exe` com parâmetros apontando para arquivos CPL, especialmente de diretórios não-padrão ou arquivos recém-criados, seguida por execução suspeita de processos filhos ou modificações de registro registrando novos itens no Painel de Controle. A telemetria inclui eventos de criação de processos do Sysmon (Event ID 1) monitorando invocações de .cpl, eventos de criação de arquivos (Event ID 11) para novos arquivos .cpl, modificações de registro (Event ID 13) em chaves do Painel de Controle e logs de rede para conexões após execução. Arquivos CPL maliciosos são usados para persistência e execução de código, aproveitando a confiança implícita do Windows no Painel de Controle para contornar restrições de execução. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN0558](https://attack.mitre.org/detectionstrategies/DET0194#AN0558)*