# AN0880 — Analytic 0880 ## Descrição Esta analítica detecta quando adversários criam a chave de registro `Office Test\Special\Perf` e específicam um caminho de DLL maliciosa que é automaticamente carregada quando uma aplicação Office inicia. Essa DLL é injetada no espaço de memória do processo Office e pode fornecer execução persistente sem exigir habilitação de macros. A telemetria utilizada inclui logs de registro do Sysmon (Event IDs 12, 13) para monitorar criação da chave Office Test e logs de carregamento de módulo (Event ID 7) para identificar DLLs não assinadas carregadas por processos Office. Esta detecção é importante pois o abuso do Office Test registry key é uma técnica de persistência que contorna políticas de desabilitação de macros, um controle de segurança comum em organizações financeiras e governamentais brasileiras. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1137-office-application-startup|T1137 — Office Application Startup]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1055-process-injection|T1055 — Process Injection]] --- *Fonte: [MITRE ATT&CK — AN0880](https://attack.mitre.org/detectionstrategies/DET0315#AN0880)*