# AN0331 — Analytic 0331 ## Descrição Detecta execução de visualizadores de imagem ou scripts PowerShell que acessam ou decodificam arquivos com cabeçalhos MIME incompatíveis ou padrões de bytes semelhantes a scripts embutidos. A telemetria utilizada inclui eventos de abertura de arquivos, linhagem de processos e registros de conexões de rede outbound após leitura dos arquivos. Essa analítica é valiosa para identificar steganografia e entrega de payloads por meio de arquivos de imagem aparentemente inofensivos, técnica usada para contornar soluções de DLP e inspeção de e-mail. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1566-phishing|T1566 — Phishing]] - [[t1204-user-execution|T1204 — User Execution]] --- *Fonte: [MITRE ATT&CK — AN0331](https://attack.mitre.org/detectionstrategies/DET0119#AN0331)*