# AN0127 — Analytic 0127 ## Descrição Detecta a execução de comandos de discovery ou chamadas de API para artefatos de virtualização (chaves de registro, drivers de dispositivo, serviços relacionados a VM), comportamento de sleep/execução pulada, ou DLLs de evasão de sandbox antes do deployment do payload. A telemetria inclui logs do Sysmon para consultas de registro e carregamento de módulos, ETW para chamadas de API de virtualização como IsDebuggerPresent ou CheckRemoteDebuggerPresent, e análise comportamental para identificar pausas artificiais de execução. Este analítico detecta malware que realiza fingerprinting de ambiente para determinar se está sendo analisado em sandbox antes de ativar seu comportamento malicioso real. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1057-process-discovery|T1057 — Process Discovery]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN0127](https://attack.mitre.org/detectionstrategies/DET0046#AN0127)*