# AN0516 — Analytic 0516 ## Descrição Este analítico detecta transferências de arquivos suspeitas via compartilhamentos SMB ou Admin$ correlacionadas com eventos de criação de processos (como cmd.exe, powershell.exe, certutil.exe) que não se alinham com comportamento administrativo normal, detectando escritas remotas de arquivos seguidas pela execução dos binários transferidos. A telemetria inclui logs de auditoria de acesso a compartilhamentos de arquivo (Event ID 5145), eventos de criação de processos do Sysmon (Event ID 1), e correlação de tempo entre escrita de arquivo remoto e execução subsequente. Essa cadeia de comportamento é característica do movimento lateral via SMB, amplamente usado por ransomware e grupos APT. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1570-lateral-tool-transfer|T1570 — Lateral Tool Transfer]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN0516](https://attack.mitre.org/detectionstrategies/DET0183#AN0516)*