det0204-detection-strategy-for-t1547010-port-monitor-dll-persistence-via-spoolsv

# DET0204 — Detection Strategy for T1547.010 – Port Monitor DLL Persistence via spoolsv.exe (Windows) ## Descrição Esta estratégia detecta persistência via abuso do mecanismo de Port Monitor do serviço de impressão (Print Spooler) — mapeada para [[T1547.010 — Port Monitors]]. Adversários registram uma DLL maliciosa como Port Monitor no registro do Windows (`HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors`), fazendo com que `spoolsv.exe` carregue a DLL com privilégios SYSTEM na inicialização do sistema, garantindo persistência persistente e privilegiada. A detecção foca na cadeia: modificação da chave de registro de Port Monitors → reinicialização do serviço Spooler → carregamento de nova DLL por `spoolsv.exe`. Monitoramento de registro em `HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors` por processos não-administrativos de impressão, seguido de auditoria de carregamento de módulo em `spoolsv.exe`, identifica a técnica com alta precisão. O analytics AN0580 correlaciona: evento de modificação de registro na chave de Monitors, identidade do processo que realizou a modificação (deve ser `printui.exe` ou instalador de driver legítimo), e carregamento subsequente de DLL por `spoolsv.exe` não correspondente a drivers de impressora conhecidos. A técnica foi utilizada por grupos APT como [[g0096-apt41]] e [[g0032-lazarus-group]] para estabelecer persistência persistente em ambientes Windows. ## Indicadores de Detecção - Criação de subchave em `HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\<novo_monitor>` - Modificação do valor `Driver` na chave de Port Monitor para caminho de DLL não-padrão - DLL carregada por `spoolsv.exe` de caminho fora de `%SystemRoot%\System32\spool\` - DLL de monitor de impressão sem assinatura digital da Microsoft ou do fabricante de impressora - `spoolsv.exe` carregando DLL recém-criada (criada nas últimas 24h) como monitor de porta - Execução de código malicioso a partir do espaço de endereço de `spoolsv.exe` (conexões de rede, criação de processo) - Valor de registro `Driver` apontando para caminho em `%TEMP%`, `%APPDATA%` ou share de rede ## Técnicas Relacionadas - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1055-process-injection|T1055 — Process Injection]] ## Analytics Relacionadas - [[an0580-analytic-0580|AN0580 — Analytic 0580]] --- *Fonte: [MITRE ATT&CK — DET0204](https://attack.mitre.org/detectionstrategies/DET0204)*