# AN0065 — Analytic 0065 ## Descrição Detecta quando um adversário prepara um arquivo isca que referência um recurso remoto (ex: LNK/SCF/templaté Office), fazendo com que o host realize automaticamente autenticação SMB ou WebDAV ao servidor do atacante quando o usuário abre/renderiza o arquivo ou o shell enumera ícones, com a cadeia incluindo criação/modificação do arquivo isca, acesso pelo usuário ou sistema, saída NTLM (SMB 139/445 ou WebDAV sobre 80/443) para destino não confiável, e tentativas repetidas de múltiplos usuários ou hosts privilegiados. A telemetria inclui logs de conexão SMB (Event ID 4624, 4648), análise de tráfego de rede para autenticações NTLM de saída incomuns e monitoramento de criação de arquivos LNK/SCF em locais acessíveis a usuários. Esse analítico detecta ataques de captura de hash NTLM (NTLM relay/capture), usados extensivamente por grupos como APT28 e operadores de ransomware para roubo de credenciais sem interação direta do usuário. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1187-forced-authentication|T1187 — Forced Authentication]] - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] - [[t1566-phishing|T1566 — Phishing]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0065](https://attack.mitre.org/detectionstrategies/DET0022#AN0065)*