# AN0498 — Analytic 0498 ## Descrição Este analítico detecta comprometimentos via drive-by no Windows, correlacionando evidências de comportamento anômalo do navegador (requisições a recursos externos suspeitos e padrões de injeção de script) com processos filhos atípicos, contextos de execução efêmeros, modificação de memória ou injeção de processo, e drops de arquivos inesperados. A telemetria inclui logs de proxy/NGFW para recursos não vistos antes, eventos de processo do Sysmon (Event ID 1, 7, 11), mudanças no registro e eventos de rede após as requisições do navegador. Essa correlação multi-fonte é essencial para identificar a cadeia completa de exploit de drive-by, desde a entrega até a execução do payload. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1189-drive-by-compromise|T1189 — Drive-by Compromise]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1204-user-execution|T1204 — User Execution]] --- *Fonte: [MITRE ATT&CK — AN0498](https://attack.mitre.org/detectionstrategies/DET0176#AN0498)*