det0517-detection-strategy-for-hijack-execution-flow-through-the-appdomainmanage

# DET0517 — Detection Strategy for Hijack Execution Flow through the AppDomainManager on Windows. ## Descrição O AppDomainManager é uma classe do .NET Framework que permite ao desenvolvedor personalizar o domínio de aplicação no momento do carregamento. Adversários exploram esse mecanismo para sequestrar o fluxo de execução de aplicações .NET legítimas, substituindo o gerenciador padrão por uma DLL maliciosa carregada a partir de configurações de ambiente ou arquivos de configuração de aplicação (`.config`). Essa técnica é classificada como [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] no MITRE ATT&CK e é frequentemente usada para evadir controles de segurança baseados em listas de permissão. A detecção eficaz requer monitoramento de processos .NET que carregam DLLs a partir de caminhos não padrão, especialmente quando acompanhados de variáveis de ambiente como `APPDOMAIN_MANAGER_ASM` e `APPDOMAIN_MANAGER_TYPE`. A correlação entre a presença de arquivos `.config` modificados e o carregamento de assemblies incomuns é um sinal forte de abuso. Grupos como [[g0032-lazarus-group|Lazarus Group]] e outros atores patrocinados por estados utilizam essa técnica para persistência furtiva em ambientes Windows corporativos. O monitoramento deve abranger tanto eventos de criação de processos (Sysmon Event ID 1) quanto carregamentos de imagens (Event ID 7), especialmente quando o processo pai é um binário .NET legítimo como `msbuild.exe`, `installutil.exe` ou qualquer executável assinado da Microsoft. A estratégia se complementa com detecções de [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] para cobrir técnicas correlatas de LOLBins. ## Indicadores de Detecção - Variáveis de ambiente `APPDOMAIN_MANAGER_ASM` ou `APPDOMAIN_MANAGER_TYPE` definidas por processos não administrativos - Arquivos `.config` contendo `<appDomainManagerAssembly>` ou `<appDomainManagerType>` em diretórios de aplicação - Processos .NET carregando DLLs a partir de `%TEMP%`, `%APPDATA%` ou caminhos de rede - Sysmon Event ID 7 (ImageLoad) com `Image` assinado pela Microsoft e `ImageLoaded` não assinado - Criação de arquivos `.config` por processos que não sejam instaladores legítimos - Execução de `clrjit.dll` ou `mscorwks.dll` com módulos adicionais incomuns ## Técnicas Relacionadas - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] — técnica principal coberta por esta estratégia - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] — técnica correlata de abuso de binários confiáveis - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] — execução de código via ambiente .NET - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] — ofuscação de payloads .NET - [[t1055-process-injection|T1055 — Process Injection]] — injeção de código em processos legítimos ## Analytics Relacionadas - [[an1433-analytic-1433|AN1433 — Analytic 1433]] --- *Fonte: [MITRE ATT&CK — DET0517](https://attack.mitre.org/detectionstrategies/DET0517)*