# AN0577 — Analytic 0577 ## Descrição Este analítico detecta comportamentos de DLL hijacking, incluindo cargas de DLL inesperadas de diretórios não padrão, substituição de DLLs, inserção de DLL fantasma, criação de arquivos de redirecionamento e substituição de DLLs legítimas em processos confiáveis. A telemetria inclui eventos de carregamento de módulos (Sysmon Event ID 7), modificações no sistema de arquivos em diretórios de instalação de aplicativos, alterações em chaves de registro relacionadas a caminhos de busca de DLL e análise de assinatura digital de módulos carregados. Essa detecção é crítica pois DLL hijacking é uma técnica amplamente utilizada para escalada de privilégios e persistência, frequentemente aproveitando binários de confiança do sistema para carregar código malicioso. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN0577](https://attack.mitre.org/detectionstrategies/DET0201#AN0577)*