# AN0209 — Analytic 0209 ## Descrição Detecta execução de scripts ou macros VB (VBS/VBA/VBScript) via `cscript.exe`/`wscript.exe`, cadeias de processo baseadas em Office ou uso de HTA, com foco em comportamento encadeado onde um contêiner Office ou HTML gera um host de script que por sua vez inicia PowerShell, conexões de rede ou injeção de processo. A telemetria inclui eventos Sysmon de criação de processo (EventID 1) rastreando linhagem de cscript.exe/wscript.exe, logs de bloco de script do PowerShell (EID 4104) para conteúdo de script executado subsequentemente e conexões de rede originadas de hosts de script via Sysmon EventID 3. Essa analítica cobre uma técnica de execução histórica mas ainda amplamente utilizada, especialmente em ataques via e-mail de phishing com documentos Office maliciosos, onde VBScript é frequentemente a ponte entre o documento e a execução do payload principal. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1566-phishing|T1566 — Phishing]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] --- *Fonte: [MITRE ATT&CK — AN0209](https://attack.mitre.org/detectionstrategies/DET0076#AN0209)*