# AN0511 — Analytic 0511 ## Descrição Este analítico detecta criação ou modificação de stored procedures que invocam `xp_cmdshell` ou assemblies CLR para execução de comandos e persistência em SQL Server no Windows. A telemetria inclui logs de auditoria do SQL Server (eventos de DDL), trilhas de auditoria do SQL Server Agent, eventos de execução de processos filhos do SQL Server e monitoramento de alterações em assemblies CLR registrados. Adversários que obtêm acesso ao SQL Server frequentemente abusam de `xp_cmdshell` para executar comandos arbitrários no sistema operacional subjacente com os privilégios da conta de serviço SQL. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1505-server-software-component|T1505 — Server Software Component]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] --- *Fonte: [MITRE ATT&CK — AN0511](https://attack.mitre.org/detectionstrategies/DET0181#AN0511)*