# AN0024 — Analytic 0024 ## Descrição Correlaciona modificações inesperadas em filtros de eventos WMI, gatilhos de tarefas agendadas ou chaves de autorun no registro com a execução subsequente de binários não padrão por processos de nível SYSTEM, indicando mecanismos de persistência baseados em eventos. A telemetria inclui eventos de criação/modificação de WMI (Event ID 5857, 5860, 5861), alterações em chaves de registro de autorun e logs de criação de processos filhos de svchost ou taskeng.exe. Esse analítico detecta técnicas de persistência sofisticadas usadas por APTs como Lazarus Group e APT41, que criam gatilhos que sobrevivem a reinicializações sem arquivos óbvios em disco. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0024](https://attack.mitre.org/detectionstrategies/DET0010#AN0024)*