# AN1222 — Analytic 1222 ## Descrição Detecta modificações anômalas no registro em Subject Interface Packages (SIPs) ou mapeamentos de DLL de provedores de confiança, carregamento inesperado de módulos criptográficos não-Microsoft ou tentativas de redirecionar a lógica de válidação WinVerifyTrust. A telemetria inclui eventos de alteração de registro em chaves de confiança, carregamentos suspeitos de DLL em processos de verificação de assinatura e falhas anômalas de válidação de confiança. Essa análise é essencial para detectar subversão do mecanismo de verificação de código assinado do Windows, usado para executar binários não autorizados. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1553.003-sip-and-trust-provider-hijacking|T1553.003 — SIP and Trust Provider Hijacking]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN1222](https://attack.mitre.org/detectionstrategies/DET0442#AN1222)*