# AN0581 — Analytic 0581 ## Descrição Este analítico detecta execução de scripts XSL via `msxsl.exe` ou `wmic.exe` utilizando JScript ou VBScript incorporados para proxy de execução, correlacionando criação de processos, padrões de linha de comando e comportamento de carregamento de módulos de componentes de scripting (como `jscript.dll`). A telemetria inclui logs de criação de processos com argumentos de linha de comando (Event ID 4688, Sysmon Event ID 1), eventos de carregamento de DLL de scripting e monitoramento de execução de WMIC com parâmetros de transformação XSL. Essa detecção é relevante pois o uso de XSL para proxy de execução é uma técnica de evasão que aproveita ferramentas legítimas do Windows para executar código arbitrário contornando controles de aplicação e políticas de AppLocker/WDAC. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1220-xsl-script-processing|T1220 — XSL Script Processing]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN0581](https://attack.mitre.org/detectionstrategies/DET0205#AN0581)*