# AN0199 — Analytic 0199 ## Descrição Detecta uso adversarial de configuração de scripts de logon via Política de Grupo ou atributos de objeto de usuário, seguido de execução do script pós-autenticação, incluindo comportamento de modificação do caminho ou arquivo do script e posterior execução do processo no contexto de logon do usuário. A telemetria inclui eventos de auditoria de modificação de GPO (Security EID 5136), eventos do Sysmon de criação de arquivo em caminhos de scripts de logon (`\\DOMAIN\SYSVOL\`) e processos iniciados por `userinit.exe` ou `explorer.exe` com linhagem suspeita no início da sessão. Essa analítica é relevante em ambientes Active Directory porque scripts de logon de GPO são um mecanismo de persistência privilegiado que garante execução em qualquer máquina do domínio onde o usuário comprometido fizer login, permitindo movimentação lateral silenciosa e persistência distribuída. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1037-boot-or-logon-initialization-scripts|T1037 — Boot or Logon Initialization Scripts]] - [[t1484-domain-or-tenant-policy-modification|T1484 — Domain Policy Modification]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0199](https://attack.mitre.org/detectionstrategies/DET0072#AN0199)*