# AN0595 — Analytic 0595 ## Descrição Este analítico detecta modificação ou substituição da DLL dos Serviços de Terminal (`termsrv.dll`) ou alterações no valor de registro `ServiceDll` associado para carregar uma DLL arbitrária ou patcheada que habilita acesso RDP persistente e aprimorado, incluindo substituição de binário, adulteração do registro e cargas de módulo inesperadas pelo processo `svchost.exe -k termsvcs`. A telemetria inclui monitoramento de integridade de arquivos em `C:\Windows\System32\termsrv.dll`, eventos de modificação do registro (Sysmon Event ID 13) e logs de carregamento de módulos pelo svchost.exe (Sysmon Event ID 7) correlacionados com assinatura digital dos módulos. Essa detecção é crítica pois a adulteração do `termsrv.dll` é usada para contornar restrições de sessão RDP simultânea, criar backdoors persistentes de acesso remoto e é uma técnica observada em ferramentas de administração remota maliciosas e APTs. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1505-server-software-component|T1505 — Server Software Component]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] --- *Fonte: [MITRE ATT&CK — AN0595](https://attack.mitre.org/detectionstrategies/DET0212#AN0595)*