# AN0178 — Analytic 0178 ## Descrição Detecta uma cadeia comportamental onde um aplicativo voltado ao usuário (navegador, Office ou cliente de e-mail) abre uma URL ou lida com um link, a mesma linhagem de processo estabelece conexão de saída para domínio ou IP não confiável e, em seguida, um arquivo é baixado ou desempacotado em local com permissão de escrita do usuário, com enriquecimento opcional por execução subsequente via LOLBINs. A telemetria inclui eventos Sysmon de conexão de rede (EventID 3) e criação de arquivo (EventID 11) correlacionados por processo pai, além de análise de linhagem de processos filhos iniciados por Office ou navegadores. Essa analítica cobre a cadeia de kill chain de acesso inicial via links maliciosos, sendo especialmente relevante para detectar campanhas de spear-phishing que utilizam técnicas de download por clique (drive-by) contra alvos corporativos no Windows. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1566-phishing|T1566 — Phishing]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] --- *Fonte: [MITRE ATT&CK — AN0178](https://attack.mitre.org/detectionstrategies/DET0066#AN0178)*