# AN1029 — Analytic 1029 ## Descrição Este analítico detecta o abuso da chave de Registro `AppCertDLLs` no Windows, correlacionando modificações nessa chave com comportamento anômalo de carregamento de DLL durante eventos de criação de processo, especialmente DLLs incomuns carregadas em processos padrão do Windows após edições recentes no Registro. A telemetria utilizada inclui eventos de modificação de Registro (Sysmon EID 13) para a chave `HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDLLs`, eventos de carregamento de imagem (Sysmon EID 7) para DLLs não esperadas e correlação temporal entre edição do Registro e criação de processo subsequente. Esta detecção é crítica porque AppCertDLLs é um mecanismo de persistência pouco conhecido que permite injeção de DLL em todos os processos que invocam funções CreateProcess-family, garantindo execução persistente com alto alcance. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN1029](https://attack.mitre.org/detectionstrategies/DET0362#AN1029)*