# AN0831 — Analytic 0831 ## Descrição Esta analítica detecta o uso adversarial de utilitários de arquivamento nativos ou de terceiros (makecab, diantz, xcopy, certutil, 7z, WinRAR, WinZip) correlacionando eventos suspeitos de criação de processos com argumentos de linha de comando para compressão/codificação, seguidos da criação de arquivos compactados (.cab, .zip, .7z, .rar). A telemetria utilizada inclui logs do Sysmon (Event IDs 1, 11) para criação de processos e arquivos, com aténção especial ao carregamento anômalo de `crypt32.dll` para operações de criptografia. Esta detecção é fundamental para identificar a fase de preparação de exfiltração de dados em ataques de ransomware e espionagem, onde arquivos são compactados antes de serem transmitidos para servidores de comando e controle. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1560-001-archive-via-utility|T1560.001 — Archive via Utility]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] --- *Fonte: [MITRE ATT&CK — AN0831](https://attack.mitre.org/detectionstrategies/DET0298#AN0831)*