# AN0932 — Analytic 0932 ## Descrição Este analytic detecta a execução de `CMSTP.exe` com argumentos apontando para payloads suspeitos ou remotos (INF/SCT/DLL), seguida de conexões de rede de saída para IPs não confiáveis, injeção de processo via interfaces COM (CMSTPLUA, CMLUAUTIL), modificações no registro registrando perfis maliciosos, ou criação de arquivos INF/DLL/SCT suspeitos antes da execução. A telemetria inclui eventos de criação de processo (Sysmon), eventos de atividade COM, modificações de registro e logs de rede. O abuso de CMSTP é uma técnica clássica de bypass de UAC e execução de payload confiável, amplamente documentada em campanhas de APT e frequentemente usada para carregar DLLs maliciosas contornando controles de aplicação como AppLocker. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1218-007-msiexec|T1218.003 — CMSTP]] - [[t1548-002-bypass-user-account-control|T1548.002 — Bypass User Account Control]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] --- *Fonte: [MITRE ATT&CK — AN0932](https://attack.mitre.org/detectionstrategies/DET0328#AN0932)*