# AN0651 — Analytic 0651 ## Descrição Detecta a criação ou modificação de formatos comuns de arquivos de mídia (como `.jpg`, `.png`, `.wav`) após atividade suspeita de processo envolvendo compressão ou criptografia, especialmente quando combinada com comportamentos de movimentação lateral ou exfiltração. A telemetria inclui Sysmon (Event ID 11 — FileCreate) e logs de processo que correlacionam criação de arquivos de mídia com execuções de ferramentas de compressão ou criptografia em cadeia. Essa detecção é relevante para identificar técnicas de esteganografia onde dados exfiltrados são ocultados dentro de arquivos de mídia aparentemente inocentes para evadir controles de DLP. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1074-data-staged|T1074 — Data Staged]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] --- *Fonte: [MITRE ATT&CK — AN0651](https://attack.mitre.org/detectionstrategies/DET0235#AN0651)*