# AN0785 — Analytic 0785 ## Descrição Esta analítica detecta execuções anômalas de regsvr32.exe desviando do uso administrativo ou de sistema normal, incluindo carregamento de scriptlets ou DLLs de caminhos incomuns (especialmente diretórios temporários ou URLs remotas), argumentos de linha de comando invocando /i ou /u com referências suspeitas de arquivo e conexões de rede iniciadas por regsvr32.exe. A telemetria inclui Sysmon Event ID 1 (criação de processo com argumentos de regsvr32), Event ID 3 (conexão de rede) e Event ID 7 (carregamento de módulo para DLLs carregadas). A detecção é importante porque regsvr32 é um LOLBin clássico usado para bypass de AppLocker e execução de código malicioso via scriptlets COM sem criar arquivos em disco. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1140-deobfuscate-decode|T1140 — Deobfuscaté/Decode Files or Information]] --- *Fonte: [MITRE ATT&CK — AN0785](https://attack.mitre.org/detectionstrategies/DET0282#AN0785)*