# AN0108 — Analytic 0108 ## Descrição Detecta executáveis escritos ou modificados em diretórios de instalação (%TEMP% ou Program Files) seguidos de execução em contexto elevado, indicando possível abuso de DLL hijacking ou substituição de binário durante instalação. A telemetria inclui logs do Sysmon para criação de arquivo (Event ID 11) e carregamento de imagem (Event ID 7), eventos de processo com contexto de integridade elevado, e correlação com atividade de processo instalador que aponta para binários fornecidos pelo atacante. Este analítico é importante para detectar ataques de privilege escalation que exploram instaladores vulneráveis ou configurações incorretas de permissões em diretórios temporários. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN0108](https://attack.mitre.org/detectionstrategies/DET0038#AN0108)*