# AN0623 — Analytic 0623 ## Descrição Este analítico detecta execução de scripts ou binários disparada por SCCM, Intune ou implantação remota em contexto SYSTEM ou de consoles incomuns (como `cmtrace.exe` lançando PowerShell ou `cmd.exe`) fora de janelas de implantação agendadas ou com payloads não autorizados. A telemetria inclui logs de implantação do SCCM/ConfigMgr, eventos de execução de processos correlacionados com o processo pai de agentes de gerenciamento, logs do Intune com registros de execução de scripts e alertas de SIEM para execuções de processos privilegiados SYSTEM sem mudança de configuração aprovada. Essa detecção é importante pois adversários que comprometem a infraestrutura de gerenciamento (SCCM, Intune) obtêm capacidade de distribuir malware para toda a frota de endpoints gerenciados, tornando ferramentas de gestão em vetores de comprometimento em massa. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1072-software-deployment-tools|T1072 — Software Deployment Tools]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN0623](https://attack.mitre.org/detectionstrategies/DET0223#AN0623)*