# AN0355 — Analytic 0355 ## Descrição Detecta adversários que renomeiam LOLBINs ou implantam binários com nomes de arquivo falsificados, metadados PE internos enganosos ou ícones simulados para parecerem legítimos, seguidos de execução ou registro como serviço inconsistente com o uso esperado da ferramenta. A telemetria inclui análise de metadados PE de arquivos recém-criados, eventos de carregamento de módulo (Sysmon Event ID 7) e comparação hash contra baseline de binários conhecidos. Essa analítica é essencial para detectar técnicas de mascaramento que tornam malware e ferramentas de ataque indistinguíveis de software legítimo à inspeção superficial. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN0355](https://attack.mitre.org/detectionstrategies/DET0127#AN0355)*