# AN0009 — Analytic 0009 ## Descrição Detecta modificações anormais na variável de ambiente PATH ou em chaves de registro que controlam caminhos do sistema, combinadas com execução de binários nomeados como ferramentas legítimas do sistema a partir de diretórios graváveis por usuários. A telemetria inclui modificações no registro do Windows (especialmente HKCU/HKLM Environment), eventos de criação de arquivos e logs de execução de processos com caminhos inconsistentes com os diretórios padrão do sistema. Esse analítico detecta ataques de PATH hijacking onde adversários antecipam binários maliciosos antes dos legítimos na ordem de busca do sistema operacional. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] --- *Fonte: [MITRE ATT&CK — AN0009](https://attack.mitre.org/detectionstrategies/DET0004#AN0009)*