# DET0017 — Detection Strategy for Application Shimming via sdbinst.exe and Registry Artifacts (Windows) ## Descrição Esta estratégia detecta o abuso do Windows Application Compatibility Framework (Shim) para persistência e evasão. O framework de shims foi projetado para garantir compatibilidade de aplicações legadas, mas pode ser explorado para interceptar chamadas de API, injetar DLLs ou redirecionar execução de código em qualquer aplicação alvo. A instalação de shims maliciosos usa o executável legítimo `sdbinst.exe` com um arquivo SDB customizado. Shims maliciosos são persistentes, sobrevivem a reinicializações, e funcionam sem privilégios de administrador em alguns cenários. Uma vez instalados, são difíceis de detectar por soluções que não monitoram o registro de shims do Windows. Grupos APT como APT41 e vários atores de crime financeiro utilizam esta técnica. A detecção envolve monitoramento da execução de `sdbinst.exe`, criação de arquivos `.sdb` em diretórios de usuário, e modificações nas chaves de registro de shims (`HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\InstalledSDB`). ## Indicadores de Detecção - Execução de `sdbinst.exe` com arquivo `.sdb` localizado em diretório temporário ou de usuário - Criação de chave de registro em `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Custom` - Arquivo `.sdb` contendo entradas para executáveis de sistema (cmd.exe, explorer.exe) como alvo - `sdbinst.exe` executado por processo filho de documento ou script (não por instalador legítimo) - Novo arquivo `.sdb` em `C:\Windows\AppPatch\Custom\` sem correspondência com software instalado ## Técnicas Relacionadas - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1112-modify-registry|T1112 — Modify Registry]] ## Analytics Relacionadas - [[an0051-analytic-0051|AN0051 — Analytic 0051]] --- *Fonte: [MITRE ATT&CK — DET0017](https://attack.mitre.org/detectionstrategies/DET0017)*