# AN0012 — Analytic 0012 ## Descrição Detecta execução de binários onde o nome do arquivo em disco não corresponde aos metadados PE como OriginalFilename ou InternalName, padrão frequentemente observado com LOLBAS renomeados ou binários de sistema como rundll32, powershell ou psexec. A telemetria principal inclui eventos de criação de processos com informações de metadados PE (disponíveis via Sysmon Event ID 1 ou EDR), análise de assinatura de arquivo e verificação de hash. Esse analítico é valioso para detectar técnicas de mascaramento (masquerading) onde adversários renomeiam ferramentas do sistema para evadir detecções baseadas em nome de processo. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] --- *Fonte: [MITRE ATT&CK — AN0012](https://attack.mitre.org/detectionstrategies/DET0005#AN0012)*