# AN1323 — Analytic 1323 ## Descrição Correlaciona modificações suspeitas de registro em CLSIDs de objetos COM conhecidos com carregamentos subsequentes de DLL ou caminhos de execução de binários inesperados. Detecta a inserção de entradas COM CLSID em `HKEY_CURRENT_USER\Software\Classes\CLSID\` sobrescrevendo os caminhos padrão em HKLM, e sinaliza carregamentos anômalos de DLL rastreados de volta a alterações de registro COM sequestradas. A telemetria inclui monitoramento de modificações de registro (Event ID 4657), eventos de carregamento de imagem DLL (Sysmon Event ID 7) e correlação de linhagem de processo com o processo que modificou o registro. Esta detecção é importante para identificar hijacking de COM, uma técnica de persistência e escalação de privilégios que explora o mecanismo de resolução de objetos COM do Windows para carregar código malicioso via aplicações legítimas. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1546-015-component-object-model-hijacking|T1546.015 — Component Object Model Hijacking]] - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1112-modify-registry|T1112 — Modify Registry]] --- *Fonte: [MITRE ATT&CK — AN1323](https://attack.mitre.org/detectionstrategies/DET0481#AN1323)*