det0362-detection-strategy-for-appcert-dlls-persistence-via-registry-injection

# DET0362 — Detection Strategy for AppCert DLLs Persistence via Registry Injection ## Descrição A técnica de persistência via AppCert DLLs explora a chave de registro `HKLM\System\CurrentControlSet\Control\Session Manager\AppCertDLLs` para injetar DLLs maliciosas em todos os processos que chamam funções da API Win32 `CreateProcess`, `CreateProcessAsUser`, `WinExec` e `LoadModule`. Isso garante que o código adversário sejá carregado automaticamente por práticamente qualquer aplicação iniciada no sistema, proporcionando persistência altamente invasiva e difícil de detectar com ferramentas tradicionais de antivírus. Diferentemente de outras técnicas de DLL hijacking, AppCert DLLs não requer modificação de binários existentes — apenas a inserção de um valor de registro aponta para a DLL maliciosa. Essa característica torna a detecção dependente de monitoramento de integridade do registro, análise de DLLs carregadas por processos inesperados e correlação com listas de DLLs confiáveis (allowlist). Grupos APT como [[g0096-apt41|APT41]] documentadamente abusaram dessa técnica para garantir persistência em ambientes Windows. A estratégia de detecção monitora modificações na chave de registro AppCertDLLs via Sysmon (Event ID 13) ou equivalente EDR, verifica assinatura e integridade das DLLs referênciadas, e correlaciona com criação recente de arquivos DLL em diretórios não-padrão. ## Indicadores de Detecção - Escrita na chave `HKLM\System\CurrentControlSet\Control\Session Manager\AppCertDLLs` - DLL referênciada na chave sem assinatura digital válida de publisher confiável - DLL localizada em `%TEMP%`, `%APPDATA%`, `%ProgramData%` ou caminhos de rede - Arquivo DLL criado em disco nas últimas 24 horas e imediatamente referênciado na chave - Ausência de registro da DLL em logs de instalação de software legítimo - Processos carregando a DLL com anomalias de comportamento (conexões de rede, escrita em disco) ## Técnicas Relacionadas - [[T1546009-appcert-dlls|T1546.009 — AppCert DLLs]] - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] ## Analytics Relacionadas - [[an1029-analytic-1029|AN1029 — Analytic 1029]] --- *Fonte: [MITRE ATT&CK — DET0362](https://attack.mitre.org/detectionstrategies/DET0362)*