# AN1598 — Analytic 1598 ## Descrição Detecta registro de DLLs de provedor de rede novas ou modificadas via alterações no registro, criação anômala de DLLs em diretórios de sistema e atividade suspeita de processos (mpnotify.exe interagindo com DLLs não padrão). A correlação de múltiplos eventos conecta modificações no registro a carregamentos subsequentes de DLL durante atividade de logon do usuário. A telemetria inclui eventos de modificação do registro (Sysmon Event ID 13), carregamento de módulos (Event ID 7) e auditoria de criação de arquivos, permitindo identificar provedores de rede maliciosos que capturam credenciais durante o processo de autenticação. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1598](https://attack.mitre.org/detectionstrategies/DET0580#AN1598)*