# AN0388 — Analytic 0388 ## Descrição Detecta execução de `InstallUtil.exe` dos diretórios do .NET Framework com argumentos específicando assemblies não padrão ou fornecidos pelo atacante, especialmente quando seguida de criação de processos filhos suspeitos ou execução de scripts, além de correlação com binários recém-criados antes da invocação. A telemetria inclui eventos de criação de processos (Sysmon Event ID 1) com argumentos de `InstallUtil.exe`, monitoramento de processos filhos e análise de comandos em comparação com baselines históricos. Essa analítica é fundamental para detectar proxy de execução via InstallUtil — uma técnica LOLBIN clássica usada por APTs e red teams para executar código .NET arbitrário contornando controles de aplicação como AppLocker. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN0388](https://attack.mitre.org/detectionstrategies/DET0138#AN0388)*