det0026-windows-detection-strategy-for-t1547012-print-processor-dll-persistence

# DET0026 — Windows Detection Strategy for T1547.012 - Print Processor DLL Persistence ## Descrição Esta estratégia detecta o abuso do mecanismo de Print Processor do Windows para persistência. Adversários registram uma DLL maliciosa como Print Processor no registro (`HKLM\SYSTEM\CurrentControlSet\Control\Print\Environments\Windows x64\Print Processors`), que é carregada pelo processo `spoolsv.exe` com privilégios de SYSTEM na inicialização do serviço de spooler de impressão. A técnica (T1547.012) é especialmente atrativa porque a DLL carregada herda o contexto de `spoolsv.exe` (SYSTEM), persiste entre reinicializações, e raramente é auditada em ambientes sem controles específicos. A telemetria necessária inclui monitoramento de modificações na chave de registro `Print\Processors`, criação de novas DLLs no diretório `%WINDIR%\System32\spool\prtprocs\`, e carregamento de módulos não-assinados ou incomuns pelo processo `spoolsv.exe`. Correlacionar com eventos de criação de serviço e de carregamento de drivers de impressão reforça a detecção. O Windows Event ID 7045 (novo serviço instalado) combinado com modificações na chave de Print Processors é um sinal composto forte. O ambiente de impressão legítimo raramente muda em endpoints corporativos. ## Indicadores de Detecção - Modificação em `HKLM\SYSTEM\CurrentControlSet\Control\Print\Environments\...\Print Processors` - DLL criada em `%WINDIR%\System32\spool\prtprocs\w32x86\` ou `\x64\` por processo não-administrador legítimo - `spoolsv.exe` carregando DLL sem assinatura válida ou com hash não presente em baseline - Event ID 7045 seguido de alteração na chave Print Processors no mesmo intervalo de tempo - Processo filho de `spoolsv.exe` inesperado (cmd.exe, powershell.exe, rundll32.exe) - DLL de Print Processor apontando para caminho fora de `%WINDIR%\System32\spool\` - Ausência de entrada de impressora correspondente ao Print Processor registrado ## Técnicas Relacionadas - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] ## Analytics Relacionadas - [[an0074-analytic-0074|AN0074 — Analytic 0074]] --- *Fonte: [MITRE ATT&CK — DET0026](https://attack.mitre.org/detectionstrategies/DET0026)*