# AN0819 — Analytic 0819 ## Descrição Esta analítica detecta quando um usuário abre um arquivo entregue por e-mail, web, chat ou compartilhamento, e a aplicação manipuladora (Word, leitor de PDF, descompactador) cria um arquivo em caminhos controlados pelo usuário (Downloads, Temp, Desktop) e então gera um processo filho incomum como powershell.exe, wscript.exe, cmd.exe, regsvr32.exe, rundll32.exe ou msiexec.exe. A telemetria utilizada inclui logs do Sysmon (Event IDs 1, 11, 15) para criação de processos, criação de arquivos e streams de zona, além de logs de segurança do Windows. Esta detecção é essencial para identificar a fase de execução de ataques de spear-phishing, que representam o principal vetor de acesso inicial utilizado por grupos APT em campanhas contra o setor financeiro e governo no Brasil. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1566-phishing|T1566 — Phishing]] - [[t1566-001-spearphishing-attachment|T1566.001 — Spearphishing Attachment]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1059-powershell|T1059.001 — PowerShell]] --- *Fonte: [MITRE ATT&CK — AN0819](https://attack.mitre.org/detectionstrategies/DET0294#AN0819)*