# AN0622 — Analytic 0622 ## Descrição Este analítico detecta abuso do `mmc.exe` para executar arquivos `.msc` não da Microsoft ou CLSIDs COM maliciosos, através da cadeia comportamental: invocação suspeita de `mmc.exe` com `/a` ou `-Embedding` e caminho `.msc` não padrão, ativação COM de CLSIDs fora do baseline, carregamento de DLLs de caminhos graváveis pelo usuário, UNC ou não assinadas e, opcionalmente, atividade de rede/DNS a partir do `mmc.exe`. A telemetria inclui logs de criação de processos com argumentos de linha de comando (Sysmon Event ID 1), eventos de ativação COM via ETW, logs de carregamento de módulos (Sysmon Event ID 7) e atividade de DNS/rede correlacionada com o processo mmc.exe. Essa detecção é relevante pois o abuso do MMC é uma técnica de LOLBin que permite execução de código arbitrário aproveitando um binário assinado pela Microsoft, sendo usada para contornar controles de AppLocker e políticas de restrição de software. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1559-inter-process-communication|T1559 — Inter-Process Commúnication]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] --- *Fonte: [MITRE ATT&CK — AN0622](https://attack.mitre.org/detectionstrategies/DET0222#AN0622)*