det0486-detecting-odbcconf-proxy-execution-of-malicious-dlls

# DET0486 — Detecting Odbcconf Proxy Execution of Malicious DLLs ## Descrição `odbcconf.exe` é um utilitário legítimo do Windows para configuração de drivers ODBC que pode ser abusado como LOLBIN (Living Off The Land Binary) para executar DLLs maliciosas via o argumento `/A {REGSVR <dll_path>}`. Esse mecanismo permite que adversários executem código arbitrário em DLLs sem invocar diretamente o `regsvr32.exe` (frequentemente monitorado) e sob o contexto de um binário assinado pela Microsoft, dificultando a detecção. Essa técnica é mapeada como [[T1218.008-system-binary-proxy-execution-odbcconf|T1218.008 — System Binary Proxy Execution: Odbcconf]] no MITRE ATT&CK. A detecção foca em invocações de `odbcconf.exe` com argumentos suspeitos, especialmente o uso de `/A {REGSVR ...}` apontando para DLLs em diretórios de usuário, temporários ou de rede. O processo raramente é utilizado em ambientes corporativos fora de contextos específicos de instalação de drivers de banco de dados, tornando qualquer execução incomum digna de investigação. Campanhas de distribuição de malware como [[s0650-qakbot|QakBot]] e [[s0384-dridex|Dridex]] documentadamente usaram odbcconf para proxy execution. A correlação entre a execução de `odbcconf.exe` e a criação subsequente de conexões de rede de saída, escrita de arquivos adicionais ou modificações de registro fornece evidência de uso malicioso. A ausência de instalação prévia de software de banco de dados no contexto do evento aumenta a suspeita. ## Indicadores de Detecção - `odbcconf.exe` executado com argumento `/A {REGSVR ...}` referênciando DLL em `%TEMP%`, `%APPDATA%` ou caminho UNC - DLL carregada via odbcconf sem assinatura digital válida ou assinada por publisher desconhecido - `odbcconf.exe` executado por processo de produtividade (Word, Excel) ou shell remoto (cmd, powershell) - Conexão de rede de saída originada do processo odbcconf ou processo filho logo após execução - Ausência de histórico de uso de odbcconf no endpoint combinada com execução repentina - DLL registrada via odbcconf gerando comportamento de injeção (criação de threads remotas em outros processos) - Linha de comando contendo `/A {REGSVR` com path para arquivo recém-criado no sistema ## Técnicas Relacionadas - [[T1218.008-system-binary-proxy-execution-odbcconf|T1218.008 — Odbcconf]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1036-masquerading|T1036 — Masquerading]] ## Analytics Relacionadas - [[an1335-analytic-1335|AN1335 — Analytic 1335]] --- *Fonte: [MITRE ATT&CK — DET0486](https://attack.mitre.org/detectionstrategies/DET0486)*