# AN0578 — Analytic 0578 ## Descrição Este analítico detecta abuso interativo ou por script de `cmd.exe` e arquivos batch, com foco em relacionamentos pai-filho suspeitos (como `cmd.exe` lançado por processos incomuns), parâmetros de linha de comando anômalos e encadeamento com comportamentos de descoberta, acesso a credenciais ou movimentação lateral. A telemetria inclui logs de criação de processos do Windows (Event ID 4688) com linha de comando completa, logs do Sysmon (Event ID 1) e correlação com outros eventos de segurança que indicam atividade maliciosa em cadeia. Essa detecção é fundamental pois `cmd.exe` é o interpretador de comandos mais abusado em ataques Windows, sendo usada em práticamente todas as fases do ciclo de vida de ataques, desde execução inicial até movimentação lateral. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN0578](https://attack.mitre.org/detectionstrategies/DET0202#AN0578)*