# AN0531 — Analytic 0531 ## Descrição Este analítico detecta execução automatizada de utilitários nativos e scripts para descobrir, enumerar e exfiltrar arquivos e conteúdo da área de transferência no Windows, focando em acesso repetido a arquivos, uso de motor de scripting e utilitários de linha de comando comumente aproveitados por scripts de coleta. A telemetria inclui eventos Sysmon de acesso a arquivos (Event ID 11), execução de processos (Event ID 1), logs de PowerShell (Event ID 4103, 4104) e monitoramento de acesso à área de transferência via hooking de APIs. Essa detecção é relevante para identificar a fase de coleta de dados de ataques, onde adversários varrem sistematicamente sistemas em busca de documentos sensíveis antes da exfiltração. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1115-clipboard-data|T1115 — Clipboard Data]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1119-automated-collection|T1119 — Automated Collection]] --- *Fonte: [MITRE ATT&CK — AN0531](https://attack.mitre.org/detectionstrategies/DET0186#AN0531)*