# AN0182 — Analytic 0182 ## Descrição Detecta execução de PowerShell ou scripts com parâmetros que suprimem erros ou ignoram interrupções do usuário, como `-ErrorAction SilentlyContinue`, identificando discrepâncias entre argumentos de supressão de erro e comportamento de execução continuado que indicam evasão de detecção baseada em erros. A telemetria inclui logs de bloco de script do PowerShell (Event ID 4104) capturando parâmetros completos de linha de comando, eventos de criação de processo Sysmon e correlação com atividade de rede ou acesso a arquivos sensíveis durante a execução. Essa analítica é importante porque o uso de `-ErrorAction SilentlyContinue` e parâmetros similares é um indicador comum de scripts PowerShell maliciosos que tentam operar silenciosamente, evitando que erros apareçam para o usuário ou em logs básicos de execução. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1086-powershell|T1086 — PowerShell]] --- *Fonte: [MITRE ATT&CK — AN0182](https://attack.mitre.org/detectionstrategies/DET0067#AN0182)*