# AN0165 — Analytic 0165 ## Descrição Detecta processos incomuns no Windows que iniciam conexões de rede para destinos externos seguidas pela criação de arquivos em disco, indicando download de ferramentas pelo adversário após ganhar acesso inicial. A telemetria utilizada inclui eventos de conexão de rede do Sysmon (EventID 3), criação de arquivos (EventID 11) e análise de linhagem de processos para identificar pais incomuns iniciando comúnicações externas. Essa analítica é especialmente relevante para detectar a fase de staging de ferramentas em ataques multi-estágio, onde adversários baixam implantes adicionais, frameworks de C2 ou utilitários de reconhecimento após comprometer o sistema. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] --- *Fonte: [MITRE ATT&CK — AN0165](https://attack.mitre.org/detectionstrategies/DET0060#AN0165)*