# AN0274 — Analytic 0274 ## Descrição Esta analítica detecta uma cadeia comportamental onde um ator cria ou modifica um job BITS via `bitsadmin.exe`, cmdlets PowerShell BITS ou COM; o job realiza transferências de rede HTTP(S)/SMB enquanto o usuário está logado; e ao concluir ou falhar, o BITS executa um comando notificador (`SetNotifyCmdLine`) a partir de `svchost.exe -k netsvcs -s BITS`, frequentemente mantendo jobs de longa duração para persistência. A estratégia correlaciona telemetria de criação de processos, scripts, eventos operacionais do BITS-Client e conexões de rede iniciadas pelo BITS. Esta detecção é relevante pois o abuso do BITS é técnica furtiva usada por grupos APT como APT41 e Lazarus Group para download de payloads e C2 que escapam de controles de firewall. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1197-bits-jobs|T1197 — BITS Jobs]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN0274](https://attack.mitre.org/detectionstrategies/DET0098#AN0274)*