# AN0576 — Analytic 0576 ## Descrição Este analítico detecta uma cadeia de causa-efeito onde um utilitário de indireção (como `forfiles.exe`, `pcalua.exe`, `wsl.exe`, `scriptrunner.exe` ou `ssh.exe` com `-o ProxyCommand/LocalCommand`) spawn um programa secundário (PowerShell, cmd, msiexec, regsvr32, curl) e/ou abre conexões de rede de saída, com possível modificação prévia da configuração SSH para persistência. A telemetria inclui logs de criação de processos com rastreamento de linhagem pai-filho, conteúdo de linha de comando, acesso ao arquivo `%USERPROFILE%\.ssh\config` e conexões de rede iniciadas pelo utilitário ou seus filhos. Essa detecção é importante porque o uso de utilitários de indireção (Living Off The Land Binaries - LOLBins) permite que adversários executem código malicioso contornando controles de aplicação baseados em whitelist. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN0576](https://attack.mitre.org/detectionstrategies/DET0200#AN0576)*