# AN0712 — Analytic 0712 ## Descrição Detecta extração ou montagem de arquivos container/arquivo como `.iso`, `.vhd` ou `.zip` originados da internet cujos arquivos contidos não possuem marcação Zone.Identifier (MOTW), correlacionando metadados de criação de arquivo com execução subsequente de binários não assinados ou não confiáveis lançados fora do SmartScreen ou Protected View. A telemetria inclui Sysmon (Event ID 11 para criação de arquivo com verificação de Zone.Identifier), Windows Security Event Log e logs de processo que identificam execução de binários extraídos de containers sem marca de zona. Essa analítica é crítica para detectar a técnica de bypass de MOTW amplamente documentada em campanhas do grupo Lazarus, TA577 e outros que utilizam ISOs e VHDs para entregar malware contornando proteções SmartScreen do Windows. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1566-phishing|T1566 — Phishing]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN0712](https://attack.mitre.org/detectionstrategies/DET0257#AN0712)*