# AN0119 — Analytic 0119 ## Descrição Detecta uso incomum de processo ou API para consultar configurações de locale do sistema, fuso horário ou layout de teclado, como chamadas a GetLocaleInfoW ou GetTimeZoneInformation, em contextos de processo não tipicamente associados a consultas de configuração de sistema. A telemetria inclui monitoramento de chamadas de API via ETW (Windows Event Tracing), logs do Sysmon para execução de processo e correlação com o contexto de atividade de processo pai. Este analítico é importante pois a verificação de localidade é utilizada por malware para evitar execução em ambientes de sandbox ou em países não-alvo, como observado em famílias de ransomware que evitam sistemas localizados para o espaço russo/CEI. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1614-system-location-discovery|T1614 — System Location Discovery]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0119](https://attack.mitre.org/detectionstrategies/DET0043#AN0119)*