det0201-detection-strategy-for-hijack-execution-flow-for-dlls

# DET0201 — Detection Strategy for Hijack Execution Flow for DLLs ## Descrição Esta estratégia detecta sequestro do fluxo de execução via DLLs maliciosas — mapeada para [[T1574 — Hijack Execution Flow]], específicamente variantes de DLL hijacking. Adversários colocam DLLs maliciosas em locais pesquisados antes dos legítimos pela ordem de pesquisa do Windows (DLL Search Order Hijacking), substituem DLLs legítimas (DLL Side-Loading), ou modificam o manifesto de aplicação para carregar DLLs não-assinadas no lugar das originais. A detecção correlaciona o carregamento de DLLs por processos legítimos de locais incomuns: uma DLL com o mesmo nome de uma DLL de sistema carregada de `%APPDATA%`, `%TEMP%`, ou do diretório da aplicação ao invés de `%SystemRoot%\System32\`. Monitoramento de carregamento de módulo (Sysmon evento 7) com verificação de hash e localização é fundamental. O analytics AN0577 foca em: DLL carregada de caminho não-padrão por processo de alta confiança (antivírus, Office, software legítimo), DLL sem assinatura digital carregada no lugar de DLL assinada de mesmo nome, e DLL com hash não correspondente ao esperado para o caminho em questão. FIM em diretórios de aplicações críticas detecta substituição preventivamente. ## Indicadores de Detecção - DLL carregada por processo legítimo de `%TEMP%`, `%APPDATA%` ou diretório de usuário - DLL com mesmo nome de DLL de sistema (`version.dll`, `dnsapi.dll`) em caminho não-padrão - DLL sem assinatura digital carregada por processo que normalmente carrega apenas DLLs assinadas - Hash de DLL carregada não correspondendo ao baseline de integridade para aquele caminho - DLL recém-criada no diretório de instalação de software legítimo antes de sua execução - `LoadLibrary()` chamada com caminho absoluto para arquivo fora de `%SystemRoot%` - DLL exportando apenas `DllMain` sem outras funções esperadas para DLL legítima de mesmo nome ## Técnicas Relacionadas - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] ## Analytics Relacionadas - [[an0577-analytic-0577|AN0577 — Analytic 0577]] --- *Fonte: [MITRE ATT&CK — DET0201](https://attack.mitre.org/detectionstrategies/DET0201)*