# AN0782 — Analytic 0782 ## Descrição Esta analítica monitora em Windows uso de ferramentas de compressão (7zip, WinRAR, MakeCab) que precede ou segue modificação de arquivos, tipos de arquivo suspeitos (.exe, .dll) sendo comprimidos, ou extração de arquivos auto-extraíveis seguida de execução imediata. A telemetria inclui Sysmon Event ID 1 (criação de processo para ferramentas de compressão), Event ID 11 (criação de arquivo para arquivos comprimidos) e monitoramento de EDR para execução de binários extraídos de arquivos. A detecção é relevante porque ferramentas de compressão são usadas tanto para preparação de dados para exfiltração quanto para delivery de payloads em ataques que usam arquivos comprimidos para evadir análise estática. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] - [[t1074-data-staged|T1074 — Data Staged]] --- *Fonte: [MITRE ATT&CK — AN0782](https://attack.mitre.org/detectionstrategies/DET0281#AN0782)*