# AN0599 — Analytic 0599 ## Descrição Este analítico detecta executáveis ou scripts contendo recursos embutidos ocultos ou payloads secundários, frequentemente com anomalias na relação entre tamanho do arquivo e funcionalidade aparente, ou binários filhos descartados durante execução. A telemetria inclui análise estática de arquivos via ferramentas de detecção de PE (como sigcheck, pestudio), monitoramento de criação de arquivos filhos por processos executáveis (Sysmon Event ID 11) e alertas de sandbox que identificam comportamento de dropper. Essa detecção é relevante porque a ocultação de payloads dentro de arquivos aparentemente legítimos é uma técnica central de evasão de análise estática, usada amplamente por droppers, loaders e stagers de malware moderno. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1140-deobfuscate-decode|T1140 — Deobfuscaté/Decode Files or Information]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0599](https://attack.mitre.org/detectionstrategies/DET0214#AN0599)*