# AN0881 — Analytic 0881 ## Descrição Esta analítica detecta quando uma aplicação Office auto-carrega uma DLL não-padrão durante a inicialização acionada via chave de registro Office Test, frequentemente sem os banners de aviso de macro habituais. Esse mecanismo de persistência por DLL contorna as defesas tradicionais contra macros configuradas em ambientes corporativos. A telemetria utilizada inclui logs de auditoria do Microsoft 365 e Office telemetria para detectar carregamento de módulos não assinados durante a inicialização de aplicativos Office, correlacionados com a presença da chave de registro Office Test. Esta detecção é crítica em ambientes Microsoft 365 corporativos, onde políticas de desabilitação de macros são comuns mas a chave Office Test permanece uma via de persistência persistente e menos monitorada explorada por grupos APT em campanhas de espionagem. **Plataformas:** Office Suite --- ## Técnicas Relacionadas - [[t1137-office-application-startup|T1137 — Office Application Startup]] - [[t1137-002-office-test|T1137.002 — Office Test]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1055-process-injection|T1055 — Process Injection]] --- *Fonte: [MITRE ATT&CK — AN0881](https://attack.mitre.org/detectionstrategies/DET0315#AN0881)*