det0575-detection-strategy-for-netsh-helper-dll-persistence-via-registry-and-chi

# DET0575 — Detection Strategy for Netsh Helper DLL Persistence via Registry and Child Process Monitoring (Windows) ## Descrição A persistência via Netsh Helper DLL ([[T1546.007 - Event Triggered Execution Netsh Helper DLL|T1546.007]]) explora o mecanismo de extensibilidade do utilitário `netsh.exe` no Windows. O netsh permite o registro de DLLs helper através de chave de registro em `HKLM\SOFTWARE\Microsoft\NetSh`, que são carregadas automaticamente toda vez que o `netsh.exe` é executado. Um adversário que registra uma DLL maliciosa nessa chave garante execução persistente, pois `netsh.exe` é frequentemente invocado por scripts de configuração de rede e ferramentas de diagnóstico. A técnica é especialmente insidiosa porque `netsh.exe` é um binário assinado da Microsoft (LOLBIN — Living Off the Land Binary), o que pode dificultar detecção baseada apenas em assinatura ou reputação do processo pai. A DLL helper carregada herda o contexto de segurança do processo `netsh.exe`, que pode ser executado com privilégios SYSTEM em contextos de serviço. Grupos focados em persistência de longo prazo utilizam esse mecanismo como alternativa a serviços e Run keys para reduzir a footprint. A detecção combina monitoramento de registry (Event ID 4657 ou Sysmon Event ID 13 — modificação de chave `HKLM\SOFTWARE\Microsoft\NetSh`) com análise de processos filhos anômalos criados por `netsh.exe`. Uma DLL helper legítima raramente cria processos filhos; se `netsh.exe` gera um `cmd.exe`, `powershell.exe` ou processo de rede, isso deve gerar alerta imediato. ## Indicadores de Detecção - Modificação da chave `HKLM\SOFTWARE\Microsoft\NetSh` adicionando entrada nova - DLL registrada como Netsh helper sem assinatura digital válida - `netsh.exe` criando processo filho (`cmd.exe`, `powershell.exe`, ou qualquer processo não-netsh) - Sysmon Event ID 7 (DLL carregada): DLL de path não-padrão carregada por `netsh.exe` - Event ID 4657: modificação na chave NetSh por processo não-administrativo - Hash de DLL em chave NetSh não correspondendo a DLLs conhecidas do sistema ## Técnicas Relacionadas - [[T1546.007-event-triggered-execution-netsh-helper-dll|T1546.007 — Netsh Helper DLL]] - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] ## Analytics Relacionadas - [[an1588-analytic-1588|AN1588 — Analytic 1588]] --- *Fonte: [MITRE ATT&CK — DET0575](https://attack.mitre.org/detectionstrategies/DET0575)*