# AN0677 — Analytic 0677 ## Descrição Detecta execução de clientes de banco de dados como `sqlcmd.exe` ou `isql.exe` por usuários ou em localizações não vinculadas a automações corporativas ou backups, frequentemente seguida de criação de arquivos `.sql`/`.bak`/`.csv` ou ZIPs criptografados com dados extraídos. A telemetria inclui Sysmon (Events 1, 11), Windows Event Log e logs de rede que correlacionam ferramentas SQL lançadas por `explorer.exe`, PowerShell ou processos pai incomuns com gravações de arquivo em localizações temporárias do usuário. Essa analítica é importante pois ambientes Windows corporativos frequentemente têm instâncias SQL Server acessíveis; sua exploração por ferramentas nativas (`Living Off the Land`) torna a detecção por assinatura ineficaz. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] --- *Fonte: [MITRE ATT&CK — AN0677](https://attack.mitre.org/detectionstrategies/DET0242#AN0677)*