det0194-detection-of-malicious-control-panel-item-execution-via-controlexe-or-ru

# DET0194 — Detection of Malicious Control Panel Item Execution via control.exe or Rundll32 ## Descrição Esta estratégia detecta o abuso de arquivos CPL (Control Panel Items) como vetor de execução maliciosa — mapeada para [[T1218.002 — Control Panel]]. Arquivos `.cpl` são DLLs especiais carregadas pelo `control.exe` ou diretamente pelo `rundll32.exe`, e adversários os utilizam para executar código malicioso pois CPLs são tratados com confiança pelo sistema operacional e podem contornar algumas restrições de execução. A detecção monitora a execução de arquivos `.cpl` de localizações não-padrão (fora de `%SystemRoot%\System32\`), invocação direta via `rundll32.exe shell32.dll,Control_RunDLL <arquivo.cpl>`, e processos filhos gerados por `control.exe` que executam atividade de rede ou criação de processo adicional. Arquivos CPL recém-criados em diretórios temporários ou de download são de alta suspeição. O analytics AN0558 correlaciona: origem do arquivo CPL (download, e-mail, share de rede), hash do arquivo contra listas de IoCs, processo pai de `control.exe` (deve ser `explorer.exe` em uso legítimo), e comportamento pós-execução (conexões de rede, criação de arquivos em `%TEMP%`). ## Indicadores de Detecção - `control.exe` executando arquivo `.cpl` fora de `%SystemRoot%\System32\` - `rundll32.exe shell32.dll,Control_RunDLL` com caminho para arquivo em `%TEMP%` ou `%APPDATA%` - Arquivo `.cpl` criado por browser, cliente de e-mail ou processo de download - `control.exe` gerando processo filho de `cmd.exe`, `powershell.exe` ou conexão de rede - Hash de arquivo `.cpl` correspondendo a IoCs conhecidos de campanhas de malware - Dupla extensão em arquivo CPL (ex: `documento.pdf.cpl`) indicando mascaramento - Evento Sysmon de carregamento de imagem de DLL com extensão `.cpl` de caminho incomum ## Técnicas Relacionadas - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1566-phishing|T1566 — Phishing]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1055-process-injection|T1055 — Process Injection]] ## Analytics Relacionadas - [[an0558-analytic-0558|AN0558 — Analytic 0558]] --- *Fonte: [MITRE ATT&CK — DET0194](https://attack.mitre.org/detectionstrategies/DET0194)*