det0222-detecting-mmc-msc-proxy-execution-and-malicious-com-activation

# DET0222 — Detecting MMC (.msc) Proxy Execution and Malicious COM Activation ## Descrição Esta estratégia cobre a detecção de abuso do Microsoft Management Console (`mmc.exe`) como proxy de execução via arquivos `.msc` maliciosos que ativam objetos COM arbitrários. Adversários exploram essa técnica para contornar restrições de AppLocker e execução de scripts, pois `mmc.exe` é um binário assinado pela Microsoft. O vetor típico envolve entregar um arquivo `.msc` com referência a ProgID COM malicioso ou um snap-in personalizado que executa código arbitrário quando carregado. O processo `mmc.exe` torna-se pai de processos suspeitos como `cmd.exe`, `powershell.exe` ou interpretadores de script, o que é facilmente detectável em telemetria de criação de processos. A telemetria necessária inclui logs de criação de processos (Sysmon Event ID 1), rastreamento de ativação COM via ETW (Event Tracing for Windows), e monitoramento de carregamento de DLL para identificar snap-ins não padrão. ## Indicadores de Detecção - `mmc.exe` gerando processos filhos incomuns (`cmd.exe`, `powershell.exe`, `wscript.exe`) - Arquivos `.msc` criados ou modificados fora dos caminhos padrão (`C:\Windows\System32\`) - Ativação de ProgID COM não registrado ou registrado recentemente no HKLM/HKCU - `mmc.exe` realizando conexões de rede (incomum para console de gerenciamento) - Carregamento de DLL de caminho temporário ou pasta de usuário por `mmc.exe` - Referências a CLSIDs incomuns em arquivos `.msc` abertos por usuários não administrativos ## Técnicas Relacionadas - [[T1218.014-mmc|T1218.014 — MMC]] - [[T1559.001-com-component-object-model|T1559.001 — Component Object Model]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] ## Analytics Relacionadas - [[an0622-analytic-0622|AN0622 — Analytic 0622]] --- *Fonte: [MITRE ATT&CK — DET0222](https://attack.mitre.org/detectionstrategies/DET0222)*