# AN1335 — Analytic 1335 ## Descrição Identifica o abuso do `odbcconf.exe` para executar DLLs maliciosas usando o flag de comando `REGSVR`. A cadeia comportamental inclui: (1) criação de processo do `odbcconf.exe` com argumentos `/REGSVR` ou `/A {REGSVR ...}`; (2) carregamento de módulos não padrão ou não assinados pelo `odbcconf.exe`; (3) criação opcional de processo de acompanhamento ou atividade de rede a partir da DLL carregada. A telemetria inclui eventos de criação de processos (Event ID 4688/Sysmon ID 1), análise de linha de comando e eventos de carregamento de DLL (Sysmon ID 7). Esta detecção é importante pois `odbcconf.exe` é um LOLBin legítimo do Windows que adversários utilizam para carregar DLLs maliciosas sem chamar `regsvr32.exe`, contornando regras de detecção baseadas nesse binário mais conhecido. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1218-008-odbcconf|T1218.008 — Odbcconf]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1027-defense-evasion|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN1335](https://attack.mitre.org/detectionstrategies/DET0486#AN1335)*