# AN0311 — Analytic 0311 ## Descrição Esta analítica detecta a monitoração de modificação e execução de scripts de logon de usuário ou sistema, como aqueles nas chaves de Registro Run ou nas pastas de inicialização. A telemetria inclui Windows Security Event ID 4697 e 4698 para modificações de serviço e tarefa, eventos de modificação de Registro (Sysmon Event ID 13) para chaves Run/RunOnce e logs de criação de processo. A detecção é relevante pois scripts de logon maliciosos são mecanismo de persistência amplamente usado por bankers e RATs que visam sistemas corporativos Windows, garantindo execução automática a cada login do usuário. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1037-boot-or-logon-initialization-scripts|T1037 — Boot or Logon Initialization Scripts]] - [[t1037-001-logon-script-windows|T1037.001 — Logon Script (Windows)]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1059-001-powershell|T1059.001 — PowerShell]] --- *Fonte: [MITRE ATT&CK — AN0311](https://attack.mitre.org/detectionstrategies/DET0112#AN0311)*