# AN0113 — Analytic 0113 ## Descrição Detecta atividade adversarial que remove artefatos de persistência como serviços, chaves de registro, tarefas agendadas, contas de usuário e binários por meio de comandos como sc delete, schtasks /delete ou reg delete. A telemetria inclui logs do Sysmon (Event ID 1 para linha de comando), Windows Event Log (Event ID 7040 para mudança de serviço, 4663 para exclusão de objeto), e correlação com sessão de acesso remoto ativa ou fase de pós-exploração estabelecida. Este analítico é crítico para detectar adversários que cobrem seus rastros após completar seus objetivos, removendo backdoors e ferramentas implantadas antes de sair do ambiente. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1489-service-stop|T1489 — Service Stop]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1136-create-account|T1136 — Create Account]] --- *Fonte: [MITRE ATT&CK — AN0113](https://attack.mitre.org/detectionstrategies/DET0040#AN0113)*