# AN0360 — Analytic 0360 ## Descrição Detecta uso suspeito de parâmetros de script ou edições de registro para ocultar janelas de processo (como `powershell.exe -WindowStyle Hidden` ou modificações de registro que empurram posições de janela para fora da tela), correlacionado com linhagem de processo anômala ou chamadas de API do tipo `CreateDesktop` indicativas de hVNC. A telemetria inclui argumentos de linha de comando (Sysmon Event ID 1), chamadas de API monitoradas e eventos de criação de desktop virtual. Essa analítica é importante para detectar ferramentas de acesso remoto oculto (RAT) e hVNC amplamente usados por grupos de ransomware e crime financeiro para operar sessões sem visibilidade do usuário legítimo. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN0360](https://attack.mitre.org/detectionstrategies/DET0128#AN0360)*