det0479-detection-strategy-for-hijack-execution-flow-using-the-windows-corprofil

# DET0479 — Detection Strategy for Hijack Execution Flow using the Windows COR_PROFILER. ## Descrição A variável de ambiente `COR_PROFILER` é um mecanismo legítimo do .NET Framework que permite que ferramentas de profiling se injetem em processos .NET. Adversários abusam dessa funcionalidade para sequestrar o fluxo de execução de aplicativos .NET, carregando DLLs maliciosas em qualquer processo que utilize o runtime do .NET, sem exigir elevação de privilégios. Essa técnica é classificada como [[T1574.012-hijack-execution-flow-cor-profiler|T1574.012 — Hijack Execution Flow: COR_PROFILER]] no MITRE ATT&CK. A detecção foca na criação ou modificação das variáveis de ambiente `COR_ENABLE_PROFILING=1` e `COR_PROFILER` no registro do Windows, especialmente em chaves de usuário (`HKCU\Environment`) que não exigem privilégios administrativos. O carregamento subsequente de DLLs a partir de caminhos incomuns (diretórios temporários, AppData, caminhos de rede) por processos .NET é um indicador crítico. Essa técnica é utilizada para persistência e evasão de defesas, pois o código malicioso é executado no contexto de processos legítimos do .NET. Ferramentas de pós-exploração como [[s0154-cobalt-strike|Cobalt Strike]] e implants de APTs nação-estado incluem módulos que exploram COR_PROFILER para injeção de código persistente. ## Indicadores de Detecção - Criação de chave de registro `HKCU\Environment\COR_ENABLE_PROFILING` com valor `1` - Definição de `COR_PROFILER` apontando para CLSID não registrado ou caminho de DLL em diretório temporário - Carregamento de DLL por processo .NET a partir de `%TEMP%`, `%APPDATA%` ou caminhos de rede incomuns - Processo .NET iniciando conexão de rede de saída logo após carregamento de profiler não padrão - Modificação de variáveis de ambiente de sistema (`HKLM`) por processos sem privilégio administrativo (indicativo de bypass) - Ausência da DLL referênciada em listas de profilers aprovados pela organização - Processos de alto valor (.NET) como IIS worker, aplicações corporativas, gerando subprocessos incomuns ## Técnicas Relacionadas - [[T1574.012-hijack-execution-flow-cor-profiler|T1574.012 — Hijack Execution Flow: COR_PROFILER]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1036-masquerading|T1036 — Masquerading]] ## Analytics Relacionadas - [[an1319-analytic-1319|AN1319 — Analytic 1319]] --- *Fonte: [MITRE ATT&CK — DET0479](https://attack.mitre.org/detectionstrategies/DET0479)*