# AN0278 — Analytic 0278 ## Descrição Esta analítica detecta a execução de interpretadores Lua ou scripts `.lua`, especialmente quando correlacionada com processos pai suspeitos ou eventos de gravação de arquivos, indicando uso malicioso de scripting embutido. A telemetria inclui eventos de criação de processo (Sysmon Event ID 1) para binários Lua, hashes de arquivos de script e correlação com atividade de processo pai anômalo. A detecção é relevante pois o abuso de interpreters Lua embutidos em produtos legítimos (como Wireshark, Nmap, ou software de monitoramento) é técnica crescente de execução de código que escapa de controles de allowlisting de aplicativos. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN0278](https://attack.mitre.org/detectionstrategies/DET0101#AN0278)*