# AN0862 — Analytic 0862 ## Descrição Esta analítica detecta quando um adversário entrega uma aplicação ou atualização adulterada: um instalador/atualizador (msiexec/setup/updaté.exe/serviço do vendor) grava ou substitui binários; na primeira execução, gera scripts/shells ou DLLs não assinadas e conecta a CDNs/hosts não aprovados para updaté. A detecção correlaciona criação de processo de instalador/atualizador, mudanças de metadados de arquivo em caminhos de programa, processos filhos na primeira execução com anomalias de módulo/assinatura, e conexões de saída a hosts inesperados em janela curta. A telemetria utilizada inclui logs do Sysmon (Event IDs 1, 7, 11, 22) e eventos de segurança do Windows. Esta detecção é essencial para identificar ataques à cadeia de suprimentos de software, um dos vetores de maior impacto, como demonstrado pelo incidente SolarWinds. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1195-supply-chain-compromise|T1195 — Supply Chain Compromise]] - [[t1195-002-compromise-software-supply-chain|T1195.002 — Compromise Software Supply Chain]] - [[t1072-software-deployment-tools|T1072 — Software Deployment Tools]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] --- *Fonte: [MITRE ATT&CK — AN0862](https://attack.mitre.org/detectionstrategies/DET0309#AN0862)*