# AN0445 — Analytic 0445 ## Descrição Detecta execução de `msiexec.exe` onde argumentos de linha de comando referênciam pacotes MSI remotos, caminhos UNC, URLs HTTP/HTTPS ou DLLs, correlacionada com carregamentos subsequentes de módulos e/ou conexões de rede para destinos nunca vistos antes, ligando criação de processo com parâmetros suspeitos, atividade de rede para recuperação de payload e carregamento de módulo indicativo de instalação maliciosa ou execução de DLL. A telemetria necessária inclui logs Sysmon de criação de processo (Event ID 1) com argumentos completos de linha de comando, eventos de conexão de rede (Event ID 3) e monitoramento de carregamento de imagem (Event ID 7) para identificar DLLs anômalas carregadas pelo msiexec. Essa detecção é importante porque `msiexec.exe` é um binário legítimo do Windows (LOLBin) frequentemente abusado para execução de código remoto sem acionar alertas de execução direta de malware. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1218-007-system-binary-proxy-execution-msiexec|T1218.007 — Msiexec]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1059-003-command-and-scripting-interpreter-windows-command-shell|T1059.003 — Windows Command Shell]] - [[t1574-002-hijack-execution-flow-dll-side-loading|T1574.002 — DLL Side-Loading]] --- *Fonte: [MITRE ATT&CK — AN0445](https://attack.mitre.org/detectionstrategies/DET0158#AN0445)*