# AN0767 — Analytic 0767 ## Descrição Esta analítica detecta uso de ferramentas nativas do Windows como certutil.exe, powershell.exe ou copy.exe para decodificar, remontar ou extrair conteúdo malicioso de containers ofuscados ou formatos codificados, com o utilitário frequentemente aparecendo logo após staging ou download de arquivo. A telemetria inclui Sysmon Event ID 1 (criação de processo com argumentos de linha de comando), logs de PowerShell (Event ID 4104) e monitoramento de sistema de arquivos para criação de novos executáveis após operação de decodificação. A detecção é importante para identificar a fase de deployment de payloads em ataques que usam técnicas de ofuscação para contornar soluções AV/EDR durante a transferência. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1140-deobfuscate-decode|T1140 — Deobfuscaté/Decode Files or Information]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1059-001-powershell|T1059.001 — PowerShell]] --- *Fonte: [MITRE ATT&CK — AN0767](https://attack.mitre.org/detectionstrategies/DET0275#AN0767)*