# AN0797 — Analytic 0797 ## Descrição Esta analítica detecta exploração de aplicativo cliente no Windows via cadeia causa→efeito: (1) aplicativo cliente (navegador, Office, PDF/Flash/leitor) apresenta crash/saída anormal ou carregamento de local incomum, (2) depois descarta ou modifica arquivo em caminhos graváveis pelo usuário, (3) spawna filho inesperado (powershell/cmd/mshta/rundll32/wscript/installer) e (4) estabelece conexões de C2 pouco depois. A telemetria inclui Sysmon Event ID 1 (criação de processo), Event ID 11 (criação de arquivo), Event ID 3 (conexão de rede) e logs de crash do Windows Event Log. A detecção é fundamental para identificar exploração de zero-days e N-days em aplicativos cliente, que são o principal vetor de acesso inicial em ataques de spear-phishing direcionados. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1203-exploitation-for-client-execution|T1203 — Exploitation for Client Execution]] - [[t1566-phishing|T1566 — Phishing]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0797](https://attack.mitre.org/detectionstrategies/DET0287#AN0797)*