# AN1536 — Analytic 1536 ## Descrição Este analítico detecta modificações na chave de registro `AppInit_DLLs` seguidas de carregamento anômalo de DLLs por processos que importam `user32.dll`, especialmente DLLs não assinadas ou incomuns, indicando persistência não autorizada ou tentativa de escalada de privilégios via AppInit. A telemetria é obtida via eventos de auditoria de registro do Windows (Event ID 4657) e logs de carregamento de módulo do EDR que capturam quais DLLs são carregadas por quais processos e seu estado de assinatura digital. A relevância para detecção é alta pois a técnica AppInit_DLLs permite que código malicioso sejá injetado automaticamente em todo processo que carrega `user32.dll`, proporcionando persistência e acesso abrangente ao sistema. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1546-010-appinit-dlls|T1546.010 — AppInit DLLs]] - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1055-process-injection|T1055 — Process Injection]] --- *Fonte: [MITRE ATT&CK — AN1536](https://attack.mitre.org/detectionstrategies/DET0557#AN1536)*