det0212-detection-strategy-for-t1505005-terminal-services-dll-modification-windo

# DET0212 — Detection Strategy for T1505.005 – Terminal Services DLL Modification (Windows) ## Descrição Esta estratégia detecta modificação da DLL de extensão dos Serviços de Terminal do Windows para estabelecer persistência — mapeada para [[T1505.005 — Terminal Services DLL]]. O serviço RDP (Remote Desktop Services) carrega automaticamente a DLL registrada em `HKLM\SYSTEM\CurrentControlSet\Services\TermService\Parameters\ServiceDll`. Adversários modificam esse valor para apontar para uma DLL maliciosa, que é carregada com privilégios SYSTEM pelo serviço RDP na inicialização. A detecção monitora a chave de registro `ServiceDll` do TermService e a integridade da DLL `termsrv.dll`. Qualquer modificação desta chave para apontar a caminho diferente de `%SystemRoot%\System32\termsrv.dll` é altamente suspeita. Auditoria de carregamento de módulo em `svchost.exe` (que hospeda o TermService) identifica DLLs não-esperadas associadas ao serviço RDP. O analytics AN0595 correlaciona: modificação da chave de registro `ServiceDll` → identidade do processo modificador → hash da DLL alvo → carregamento posterior por `svchost.exe` com contexto de TermService. A técnica foi observada em campanhas de APT que visam servidores de acesso remoto expostos para manter backdoor mesmo após reimagem parcial. ## Indicadores de Detecção - Modificação de `HKLM\SYSTEM\CurrentControlSet\Services\TermService\Parameters\ServiceDll` - Valor `ServiceDll` apontando para caminho diferente de `%SystemRoot%\System32\termsrv.dll` - Hash de `termsrv.dll` alterado em relação ao baseline de integridade do sistema - DLL carregada por `svchost.exe -k termsvcs` com assinatura inválida ou ausente - `svchost.exe` (TermService) gerando processo filho inesperado (`cmd.exe`, `powershell.exe`) - `svchost.exe` do TermService estabelecendo conexão de rede externa incomum - Arquivo DLL recém-criado em `%SystemRoot%\System32\` com nome similar a `termsrv.dll` ## Técnicas Relacionadas - [[t1505-server-software-component|T1505 — Server Software Component]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1021-remote-services|T1021 — Remote Services]] ## Analytics Relacionadas - [[an0595-analytic-0595|AN0595 — Analytic 0595]] --- *Fonte: [MITRE ATT&CK — DET0212](https://attack.mitre.org/detectionstrategies/DET0212)*