det0557-detection-strategy-for-event-triggered-execution-appinit-dlls-windows

# DET0557 — Detection Strategy for Event Triggered Execution: AppInit DLLs (Windows) ## Descrição A técnica [[T1546.010 - Event Triggered Execution AppInit DLLs|T1546.010 AppInit DLLs]] permite que adversários obtenham persistência e escalada de privilégios no Windows ao registrar DLLs maliciosas na chave de registro `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs`. Quando habilitada, essa DLL é carregada em todo processo que importa `user32.dll`, oferecendo ao atacante execução de código em um contexto altamente privilegiado e persistente. Essa estratégia foca na monitoração de modificações nas chaves de registro associadas ao AppInit_DLLs, especialmente alterações no valor `LoadAppInit_DLLs` (que deve ser 0 para desabilitar o mecanismo) e no próprio campo de caminhos de DLL. Grupos como [[g0032-lazarus-group]] e [[g0016-apt29]] já abusaram desse mecanismo para carregar implantes C2 durante o boot do sistema sem depender de tarefas agendadas ou serviços. A detecção eficaz combina monitoramento de eventos de registro (Event ID 4657 do Windows Security Log), análise de integridade de DLL via assinatura digital e correlação com processos que carregam DLLs não assinadas em user32.dll. A presença de DLLs de caminhos não convencionais (ex.: `%TEMP%`, `%APPDATA%`) deve gerar alerta imediato. ## Indicadores de Detecção - Modificação em `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs` - Valor `LoadAppInit_DLLs` alterado para `1` de forma inesperada - DLL registrada sem assinatura digital válida ou de publisher não reconhecido - Processo `user32.dll` carregando DLL de diretório temporário ou perfil de usuário - Event ID 4657 (registro modificado) correlacionado com criação de arquivo DLL ## Técnicas Relacionadas - [[T1546.010-event-triggered-execution-appinit-dlls|T1546.010 — AppInit DLLs]] - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1112-modify-registry|T1112 — Modify Registry]] ## Analytics Relacionadas - [[an1536-analytic-1536|AN1536 — Analytic 1536]] --- *Fonte: [MITRE ATT&CK — DET0557](https://attack.mitre.org/detectionstrategies/DET0557)*