det0404-detect-winlogon-helper-dll-abuse-via-registry-and-process-artifacts-on-w

# DET0404 — Detect Winlogon Helper DLL Abuse via Registry and Process Artifacts on Windows ## Descrição O processo `winlogon.exe` no Windows é responsável pela autenticação de usuários e pelo gerenciamento de sessões de login. Adversários abusam das chaves de registro `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon` — específicamente os valores `Userinit` e `Shell` — para forçar a carga de DLLs maliciosas sempre que um usuário realiza login. Essa técnica garante persistência e execução com privilégios elevados de forma transparente. A detecção envolve monitoramento em tempo real das chaves de registro mencionadas, especialmente quando modificadas por processos que não sejam instaladores legítimos com assinatura Microsoft. A adição de caminhos adicionais ao valor `Userinit` (ex.: `userinit.exe, C:\malware.exe,`) ou a substituição do valor `Shell` por algo diferente de `explorer.exe` são indicadores diretos de comprometimento. No nível de processo, DLLs carregadas pelo `winlogon.exe` que não pertencem ao sistema operacional ou a softwares de segurança conhecidos devem ser investigadas. Grupos como [[g0007-apt28]] e [[g0010-turla]] documentaram o uso desse mecanismo. Ferramentas como Autoruns (Sysinternals) são eficazes para auditoria manual, mas a detecção automatizada requer integração com Sysmon (Event ID 13 — Registry Value Set). ## Indicadores de Detecção - Modificação dos valores `Userinit` ou `Shell` em `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon` - DLLs carregadas por `winlogon.exe` com caminhos fora de `%SystemRoot%\System32\` - Processo `winlogon.exe` gerando processos filhos não esperados (além de `userinit.exe` e `explorer.exe`) - Criação de arquivos DLL em locais temporários correlacionada com modificação de chaves Winlogon - Event ID 4688 (processo criado) com pai sendo `winlogon.exe` para executáveis incomuns ## Técnicas Relacionadas - [[T1547004-winlogon-helper-dll|T1547.004 — Winlogon Helper DLL]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1055-process-injection|T1055 — Process Injection]] ## Analytics Relacionadas - [[an1133-analytic-1133|AN1133 — Analytic 1133]] --- *Fonte: [MITRE ATT&CK — DET0404](https://attack.mitre.org/detectionstrategies/DET0404)*