# AN0747 — Analytic 0747 ## Descrição Esta analítica detecta arquivamento adversarial usando bibliotecas (zlib, zip APIs) invocadas por scripts ou binários no Windows, correlacionando execuções de Python, PowerShell ou binários .NET customizados com carregamentos de DLLs de compressão seguidos de criação de arquivos comprimidos. A telemetria inclui Sysmon Event ID 7 (carregamento de imagem), Event ID 1 (criação de processo) e monitoramento de sistema de arquivos para arquivos com extensões de compressão (.zip, .gz, .7z). A detecção é relevante porque o uso de APIs de compressão por processos não convencionais é um forte indicador de preparação de dados para exfiltração. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1074-data-staged|T1074 — Data Staged]] - [[t1059-001-powershell|T1059.001 — PowerShell]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] --- *Fonte: [MITRE ATT&CK — AN0747](https://attack.mitre.org/detectionstrategies/DET0268#AN0747)*