det0361-detecting-net-com-registration-abuse-via-regsvcsregasm

# DET0361 — Detecting .NET COM Registration Abuse via Regsvcs/Regasm ## Descrição `Regsvcs.exe` e `Regasm.exe` são utilitários legítimos do .NET Framework usados para registrar assemblies COM no Windows. Adversários abusam dessas ferramentas para executar código malicioso embutido em assemblies .NET, aproveitando que ambos os binários são assinados pela Microsoft e frequentemente whitelistados em políticas de controle de aplicações (AppLocker, WDAC). A técnica permite execução de payloads arbitrários contornando restrições de execução de scripts e controles de aplicação, sendo classificada como LOLBin (Living-Off-the-Land Binary). A execução maliciosa tipicamente envolve um arquivo `.dll` ou `.tlb` hospedado em diretório temporário ou de usuário, sem registro prévio no sistema. O adversário invoca `regasm.exe assembly.dll /U` ou `regsvcs.exe assembly.dll`, acionando os métodos `[ComRegisterFunction]` ou `[ComUnregisterFunction]` decorados na assembly maliciosa. Famílias de malware como [[AMSI]] bypass loaders e RATs customizados utilizam essa técnica para persistência inicial e execução furtiva. A detecção correlaciona a criação de processos `regasm.exe` ou `regsvcs.exe` com argumentos que referênciam caminhos fora de `%SystemRoot%`, ausência de registro do componente COM nos logs de instalação legítima, e execução por processos pais inesperados como scripts de Office ou navegadores web. ## Indicadores de Detecção - `regasm.exe` ou `regsvcs.exe` executados com argumentos apontando para `%TEMP%`, `%APPDATA%` ou caminhos de rede - Processo pai de `regasm.exe` sendo `winword.exe`, `excel.exe`, `powershell.exe` ou `wscript.exe` - Assembly .NET criada em disco e imediatamente referênciada por `regasm.exe` (intervalo < 30s) - Ausência de entrada correspondente no registro do Windows para o CLSID gerado - Execução de `regsvcs.exe` fora do contexto de instalação de software legítimo - Criação de processos filhos por `regasm.exe` ou `regsvcs.exe` (comportamento atípico) ## Técnicas Relacionadas - [[T1218010-regsvcs-regasm|T1218.009 — Regsvcs/Regasm]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1112-modify-registry|T1112 — Modify Registry]] ## Analytics Relacionadas - [[an1028-analytic-1028|AN1028 — Analytic 1028]] --- *Fonte: [MITRE ATT&CK — DET0361](https://attack.mitre.org/detectionstrategies/DET0361)*