# AN1028 — Analytic 1028 ## Descrição Este analítico detecta o abuso de `Regsvcs.exe` ou `Regasm.exe` para executar código arbitrário embutido em assemblies .NET via `[ComRegisterFunction]`/`[ComUnregisterFunction]`, rastreando a cadeia comportamental: criação de processo com caminhos ou flags suspeitos, carregamento de assembly/DLL dentro do processo, escritas no Registro em `HKCR\CLSID`/ProgID durante registro COM, e processo filho ou atividade de rede opcional gerada pelo código de registro. A telemetria utilizada inclui eventos de criação de processos (Sysmon EID 1), carregamento de imagens (Sysmon EID 7) e modificações de Registro (Sysmon EID 13). A detecção é importante porque `Regsvcs/Regasm` são LOLBins (Living-off-the-Land Binaries) que bypasam AppLocker e execução de código não assinado ao usar binários assinados pela Microsoft como proxy de execução. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN1028](https://attack.mitre.org/detectionstrategies/DET0361#AN1028)*