# AN0630 — Analytic 0630 ## Descrição Este analítico detecta arquivos com extensões não executáveis ou enganosas (como `.jpg`, `.txt`) que são criados ou modificados e posteriormente executados como binários com base nos cabeçalhos internos do arquivo ou linhagem anômala de processo pai, incluindo identificação de arquivos poliglota ou magic bytes malformados indicativos de tentativas de mascaramento. A telemetria inclui monitoramento de magic bytes de arquivos em criação e execução (Sysmon Event ID 11 com correlação de cabeçalho), logs de criação de processos com verificação de extensão vs. tipo real de arquivo e alertas de EDR para tentativas de execução de arquivos não executáveis por extensão. Essa detecção é importante pois mascarar malware como arquivos de mídia ou documentos é uma técnica comum de evasão, especialmente em ataques de phishing e comprometimento de cadeias de fornecimento onde arquivos aparentemente benignos são distribuídos para execução posterior. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1204-user-execution|T1204 — User Execution]] --- *Fonte: [MITRE ATT&CK — AN0630](https://attack.mitre.org/detectionstrategies/DET0226#AN0630)*