# AN0172 — Analytic 0172 ## Descrição Detecta execução de Python via `python.exe` ou `py.exe` com linhagem de processo anômala (ex.: macros do Office, LOLBins como mshta ou regsvr32), execução a partir de diretórios incomuns ou encadeamento com atividade de rede, PowerShell ou operações em nível de sistema. A telemetria inclui eventos Sysmon de criação de processos (EventID 1) com linhagem suspeita, conexões de rede iniciadas pelo interpretador Python e acesso a caminhos de sistema sensíveis. Essa detecção importa porque Python é frequentemente utilizado por adversários como linguagem de scripting para implantes, ferramentas de pós-exploração e frameworks de C2 multiplataforma, sendo uma escolha comum de grupos APT por sua versatilidade. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1566-phishing|T1566 — Phishing]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1055-process-injection|T1055 — Process Injection]] --- *Fonte: [MITRE ATT&CK — AN0172](https://attack.mitre.org/detectionstrategies/DET0063#AN0172)*