# AN0226 — Analytic 0226 ## Descrição Detecta execução de binários confiáveis assinados pela Microsoft como `rundll32.exe`, `msiexec.exe` ou `regsvr32.exe` para executar payloads externos não assinados ou suspeitos através de parâmetros de linha de comando ou recuperação via rede, padrão clássico de abuso de LOLBins (Living Off the Land Binaries). A telemetria inclui eventos Sysmon de criação de processo (EventID 1) com análise de argumentos de linha de comando de binários assinados, conexões de rede iniciadas por esses processos (EventID 3) para buscar payloads remotos e carregamento de DLLs não assinadas por processos assinados via eventos de imagem Sysmon (EventID 7). Essa analítica detecta uma das técnicas de evasão de defesa mais persistentes no Windows, onde adversários utilizam binários legítimos do sistema operacional para executar código malicioso, contornando controles de whitelist de aplicações e soluções AV/EDR baseadas em assinatura de arquivo. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0226](https://attack.mitre.org/detectionstrategies/DET0081#AN0226)*