# AN0396 — Analytic 0396 ## Descrição Detecta criação de processos envolvendo atrasos suspeitos (como `Sleep`, loops de `ping -n` ou `WaitForSingleObject`) seguidos de acesso a sistemas sensíveis ou comportamentos de movimento lateral. A telemetria inclui análise de argumentos de linha de comando (Sysmon Event ID 1), detecção de padrões de temporização em execuções de processo e correlação com atividade subsequente de rede ou acesso a credenciais. Essa analítica é importante para detectar técnicas de evasão de sandbox e EDR onde malware introduz atrasos de execução para contornar análise automatizada e regras de detecção baseadas em temporização comportamental. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1480-execution-guardrails|T1480 — Execution Guardrails]] --- *Fonte: [MITRE ATT&CK — AN0396](https://attack.mitre.org/detectionstrategies/DET0141#AN0396)*