# AN0791 — Analytic 0791 ## Descrição Esta analítica detecta invocação remota de DCOM por uma conta privilegiada usando RPC (porta 135), seguida de instanciação anômala de processo ou carregamento de módulo no sistema remoto indicando execução de código. A telemetria inclui Sysmon Event ID 3 (conexão de rede na porta 135), Event ID 1 (criação de processo com PPID de svchost referênciando DCOM) e logs de segurança do Windows (Event ID 4688). A detecção é importante para identificar movimento lateral via DCOM, uma técnica usada por frameworks como Cobalt Strike e Empire que permite execução remota usando protocolos Windows nativos que frequentemente passam por firewalls corporativos. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1021-remote-services|T1021 — Remote Services]] - [[t1175-distributed-component-object-model|T1175 — Distributed Component Object Model]] - [[t1047-windows-management-instrumentation|T1047 — Windows Management Instrumentation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0791](https://attack.mitre.org/detectionstrategies/DET0285#AN0791)*