# AN0510 — Analytic 0510 ## Descrição Este analítico detecta criação ou modificação de arquivos `.lnk` (atalhos) em locais de autostart correlacionada com linhagem anômala de processos pai-filho ou binários não assinados. A telemetria inclui eventos de criação de arquivos do Sysmon (Event ID 11) em caminhos de startup como `%APPDATA%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup`, criação de processos (Event ID 1) e informações de assinatura digital de binários. Atalhos maliciosos em locais de inicialização automática são um mecanismo de persistência simples e eficaz, frequentemente entregue via phishing, tornando essa detecção essencial para identificar comprometimentos iniciais. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1566-phishing|T1566 — Phishing]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0510](https://attack.mitre.org/detectionstrategies/DET0180#AN0510)*