# AN0628 — Analytic 0628 ## Descrição Este analítico detecta uso anômalo de objetos COM para execução, como aplicativos Office spawning engines de scripting, enumeração de interfaces COM via queries de registro ou processos carregando DLLs atípicas através de ativação COM, correlacionando criação de processos, cargas de módulos e queries de registro para sinalizar execução ou persistência suspeita baseada em COM. A telemetria inclui eventos de ativação COM via ETW, logs de criação de processos (Sysmon Event ID 1) com ancestrais Office/COM, registros de carregamento de módulos (Sysmon Event ID 7) e eventos de acesso ao registro (Sysmon Event ID 13) para chaves CLSID incomuns. Essa detecção é importante pois o abuso de objetos COM é uma técnica de execução e persistência bem estabelecida no Windows, usada em frameworks de pós-comprometimento como Cobalt Strike e em ataques APT para contornar controles de segurança tradicionais baseados em análise de processos. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1559-inter-process-communication|T1559 — Inter-Process Commúnication]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN0628](https://attack.mitre.org/detectionstrategies/DET0224#AN0628)*