# AN0237 — Analytic 0237 ## Descrição Detecta processos que carregam ou decodificam arquivos criptografados/codificados em memória e subsequentemente os executam ou injetam, indicando desempacotamento de payload ou malware residente em memória sem toque em disco. A telemetria inclui eventos de carregamento de imagem do Sysmon (EventID 7) para identificar carregamento de DLLs de regiões de memória não respaldadas em arquivo, Sysmon EventID 8/10 para injeção de processo e chamadas de API de alocação de memória executável (VirtualAlloc/WriteProcessMemory) monitoradas via ETW ou EDR. Essa analítica detecta técnicas de evasão de defesa altamente eficazes onde malware carrega seus componentes inteiramente na memória RAM, evitando completamente inspeção de arquivo por soluções AV/EDR baseadas em assinatura estática, um padrão dominante em implantes avançados de grupos APT e frameworks de pós-exploração como Cobalt Strike e Metasploit. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1055-process-injection|T1055 — Process Injection]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1140-deobfuscate-decode|T1140 — Deobfuscaté/Decode Files or Information]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN0237](https://attack.mitre.org/detectionstrategies/DET0087#AN0237)*