# AN0236 — Analytic 0236 ## Descrição Detecta criação de objetos WMI EventFilter, EventConsumer e FilterToConsumerBinding via WMI ou execução de arquivo MOF, identificando execução de linha de comando de `mofcomp.exe`, uso de `Register-WmiEvent` via PowerShell e processos filhos anômalos de `WmiPrvSE.exe` que indicam execução disparada, com análise de anomalias de linhagem de processo e canais de log WMI. A telemetria inclui logs de atividade WMI (Microsoft-Windows-WMI-Activity/Operational), eventos Sysmon de criação de processo pelo `WmiPrvSE.exe` (EventID 1) e logs de bloco de script PowerShell (EID 4104) para comandos de assinatura de evento WMI. Essa analítica detecta uma das técnicas de persistência mais avançadas no Windows onde subscrições de evento WMI permitem execução de código em resposta a eventos do sistema sem criar entradas de registro ou tarefas agendadas, sendo notoriamente difícil de detectar e frequentemente usada por grupos APT para persistência de longo prazo em ambientes corporativos. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1047-windows-management-instrumentation|T1047 — Windows Management Instrumentation]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN0236](https://attack.mitre.org/detectionstrategies/DET0086#AN0236)*