# AN0488 — Analytic 0488 ## Descrição Este analítico detecta o abuso de utilitários de desenvolvimento confiáveis e assinados (LOLBins) em contextos não-relacionados ao desenvolvimento, observando quando esses utilitários geram processos filhos suspeitos (como powershell.exe, cmd.exe, rundll32.exe), carregam DLLs não assinadas ou de caminhos graváveis pelo usuário, escrevem e executam novos PEs a partir de locais não padrão, ou realizam conexões de rede imediatamente após a execução. A telemetria inclui logs de criação de processos (Sysmon Event ID 1), carregamento de imagens (Event ID 7), eventos de rede e criação de arquivos. Essa detecção é valiosa pois adversários frequentemente abusam de ferramentas legítimas para contornar controles de aplicativos e soluções de segurança baseadas em assinatura. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN0488](https://attack.mitre.org/detectionstrategies/DET0172#AN0488)*