det0042-detection-strategy-for-t1218012-verclsid-abuse

# DET0042 — Detection Strategy for T1218.012 Verclsid Abuse ## Descrição Esta estratégia detecta o abuso do binário legítimo `verclsid.exe` no Windows para proxy de execução de código malicioso. O `verclsid.exe` é um utilitário nativo usado para verificar a identidade de objetos COM, e adversários exploram essa assinatura Microsoft para carregar objetos COM arbitrários e contornar controles de segurança baseados em allowlisting. Alinhada à subtécnica [[T1218.012-verclsid]], a detecção foca em invocações incomuns do processo com argumentos que referênciam CLSIDs não-padrão, especialmente quando originadas de processos pai suspeitos como `cmd.exe`, `powershell.exe`, `wscript.exe` ou navegadores. O binário raramente é executado por usuários regulares em operações normais. A telemetria relevante inclui logs de criação de processo (Sysmon Event ID 1), acesso a registro para leitura de CLSIDs em `HKCR\CLSID\`, e conexões de rede subsequentes que possam indicar carregamento de payload remoto via objeto COM malicioso. ## Indicadores de Detecção - Execução de `verclsid.exe` com argumento `/S /C {CLSID}` não registrado no sistema - Processo pai incomum para `verclsid.exe` (navegador, office, scripts) - Acesso a chaves de registro `HKCR\CLSID\{...}\InprocServer32` com DLLs em caminhos temporários - Conexão de rede iniciada por `verclsid.exe` ou processo filho imediato - Execução por conta de usuário padrão em vez de processo de sistema ## Técnicas Relacionadas - [[T1218.012-verclsid]] — técnica primária detectada - [[t1218-system-binary-proxy-execution|T1218-system-binary-proxy-execution]] — categoria pai de proxy via binários assinados - [[t1559-inter-process-communication|T1559-inter-process-commúnication]] — objetos COM como mecanismo IPC - [[t1574-hijack-execution-flow|T1574-hijack-execution-flow]] — sequestro de carregamento de DLL via COM - [[t1027-obfuscated-files-or-information|T1027-obfuscated-files-or-information]] — ofuscação para evasão de análise estática ## Analytics Relacionadas - [[an0118-analytic-0118|AN0118 — Analytic 0118]] --- *Fonte: [MITRE ATT&CK — DET0042](https://attack.mitre.org/detectionstrategies/DET0042)*