# AN0091 — Analytic 0091 ## Descrição Detecta o uso suspeito de attrib.exe ou comandos PowerShell para definir atributos ocultos em arquivos ou diretórios, bem como a criação de arquivos com Alternate Data Streams (ADS) no Windows. A telemetria inclui logs do Sysmon (Event ID 11 para criação de arquivo, Event ID 1 para linha de comando), Event ID 4663 do Windows Security para acesso a objetos, e monitoramento de chamadas ao atributo FILE_ATTRIBUTE_HIDDEN via API do Windows. Este analítico é relevante pois a ocultação de arquivos é uma técnica de evasão frequentemente utilizada por RATs e stealers para esconder payloads, logs de atividade ou arquivos de configuração no sistema comprometido. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN0091](https://attack.mitre.org/detectionstrategies/DET0032#AN0091)*