# AN0841 — Analytic 0841 ## Descrição Esta analítica detecta a execução de arquivos originários de mídia removível após a montagem do drive, correlacionando com atividade de gravação de arquivos, uso de autorun ou propagação lateral via ferramentas preparadas. A telemetria utilizada inclui logs do Sysmon (Event IDs 1, 11) para criação de processos e arquivos, com rastreamento de volume de origem para identificar executáveis vindos de USBs ou drives externos. Esta detecção é importante para ambientes com políticas rigorosas de controle de dispositivos, onde o uso de mídia removível como vetor de entrega inicial é comum em ataques de air-gap e comprometimento de redes industriais (ICS/SCADA). **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1091-replication-through-removable-media|T1091 — Replication Through Removable Media]] - [[t1052-exfiltration-over-physical-medium|T1052 — Exfiltration Over Physical Medium]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1025-data-from-removable-media|T1025 — Data from Removable Media]] --- *Fonte: [MITRE ATT&CK — AN0841](https://attack.mitre.org/detectionstrategies/DET0301#AN0841)*