# AN1588 — Analytic 1588 ## Descrição Detecta modificações no registro sob `HKLM\SOFTWARE\Microsoft\Netsh` indicando a adição de DLLs auxiliares maliciosas, seguidas de atividade anômala de processos filho ou comportamento de carregamento de módulos iniciado por netsh.exe. A telemetria inclui eventos de modificação do registro (Sysmon Event ID 13), carregamento de módulos (Event ID 7) e criação de processos correlacionados que revelam o padrão característico de persistência via Netsh Helper DLL. Esse mecanismo é raramente legítimo e representa uma técnica de persistência silenciosa usada por adversários avançados para manter acesso em sistemas Windows. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] --- *Fonte: [MITRE ATT&CK — AN1588](https://attack.mitre.org/detectionstrategies/DET0575#AN1588)*