# AN0324 — Analytic 0324 ## Descrição Detecta criação ou modificação de serviços Windows e tarefas agendadas com nomes ou descrições que imitam entradas legítimas do sistema, seguidas da execução de binários não confiáveis ou LOLBINs (Living Off the Land Binaries). A telemetria utilizada inclui eventos de criação de serviços (Event ID 7045), logs de tarefas agendadas e criação de processos com linhagem anômala. Essa analítica é fundamental para identificar técnicas de mascaramento usadas por adversários para manter persistência de longa duração sem acionar alertas baseados em nomes de processo. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] --- *Fonte: [MITRE ATT&CK — AN0324](https://attack.mitre.org/detectionstrategies/DET0117#AN0324)*