det0315-detect-persistence-via-office-test-registry-dll-injection

# DET0315 — Detect Persistence via Office Test Registry DLL Injection ## Descrição Esta estratégia detecta o abuso da chave de registro `HKCU\Software\Microsoft\Office test\Special\Perf` para injeção de DLL maliciosa em aplicações Microsoft Office. Quando esta chave existe com um valor apontando para um arquivo DLL, o Office carrega automaticamente essa DLL no início de cada aplicação Office (Word, Excel, Outlook, etc.), proporcionando persistência privilegiada no contexto do usuário sem necessidade de direitos administrativos — tornando esta uma técnica de persistência de baixo privilégio e alta furtividade. Esta técnica é particularmente insidiosa porque a chave de registro afetada (`HKCU`, não `HKLM`) pode ser criada por qualquer usuário sem elevação de privilégio, a DLL é carregada antes de qualquer add-in inspecionado por ferramentas de segurança, e não é visível via mecanismos convencionais de inspeção de persistência que focam em Run keys ou Startup folders. A DLL carregada executa com as permissões do processo Office e tem acesso completo ao contexto do documento aberto. O monitoramento deve focar na criação ou modificação desta chave de registro específica (Sysmon Event ID 12/13) e no carregamento de DLLs de paths incomuns por processos Office. Esta técnica foi documentada em toolkits de persistência de red teams e usada em ataques APT direcionados a ambientes corporativos com heavy uso de Office. ## Indicadores de Detecção - Criação ou modificação de `HKCU\Software\Microsoft\Office test\Special\Perf` por qualquer processo - Valor na chave `Perf` apontando para DLL em path fora de `Program Files` ou `Windows\System32` - Carregamento de DLL não assinada por `winword.exe`, `excel.exe` ou `outlook.exe` no início da sessão - DLL carregada por Office de path em `%APPDATA%`, `%TEMP%` ou path de usuário sem assinatura válida - Processo Office estabelecendo conexão de rede de saída imediatamente após carregamento de DLL não-nativa - Múltiplas instâncias de Office todas carregando a mesma DLL anômala (indicativo de persistência via chave de registro compartilhada) ## Técnicas Relacionadas - [[t1137-office-application-startup|T1137 — Office Application Startup]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] ## Analytics Relacionadas - [[an0880-analytic-0880|AN0880 — Analytic 0880]] - [[an0881-analytic-0881|AN0881 — Analytic 0881]] --- *Fonte: [MITRE ATT&CK — DET0315](https://attack.mitre.org/detectionstrategies/DET0315)*