# AN1319 — Analytic 1319 ## Descrição Detecta modificações em variáveis de ambiente ou chaves de registro relacionadas ao COR_PROFILER (`COR_ENABLE_PROFILING`, `COR_PROFILER`, `COR_PROFILER_PATH`), combinadas com criação anômala de processos .NET ou carregamento de DLLs não gerenciadas. Monitora modificações de registro, criação de processos com variáveis de ambiente alteradas e DLLs de profiler carregadas inesperadamente em processos .NET CLR. A telemetria inclui eventos de modificação de registro (Event ID 4657), criação de processos com variáveis de ambiente incomuns e carregamento de módulos não gerenciados no CLR via Sysmon. Esta detecção é importante pois adversários abusam do mecanismo de profiling do .NET para injetar DLLs maliciosas em qualquer processo .NET, um método eficaz de persistência e evasão de controles de aplicação. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1547-001-registry-run-keys|T1547.001 — Registry Run Keys]] - [[t1112-modify-registry|T1112 — Modify Registry]] --- *Fonte: [MITRE ATT&CK — AN1319](https://attack.mitre.org/detectionstrategies/DET0479#AN1319)*