# AN0872 — Analytic 0872 ## Descrição Esta analítica detecta criação de arquivos por browser ou cliente de e-mail (frequentemente de diretórios temp) após navegação para ou execução de arquivos HTML contendo JavaScript Blob APIs ou Data URLs em base64, com execução subsequente do payload entregue. Utiliza Sysmon EventID 15 para inspecionar o Zone.Identifier ADS para indicadores HostUrl/ReferrerUrl como `HostUrl=about:internet`, e opcionalmente a ausência de registros de download HTTP de grande porte para a mesma URL em logs de proxy. A telemetria utilizada inclui logs do Sysmon e proxy para correlacionar montagem local de payloads com execução subsequente. Esta detecção identifica técnicas de smuggling de HTML, amplamente usadas para contornar gateways de e-mail e web proxies que inspecionam payloads em trânsito mas não detectam montagem client-side. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1566-001-spearphishing-attachment|T1566.001 — Spearphishing Attachment]] - [[t1566-002-spearphishing-link|T1566.002 — Spearphishing Link]] - [[t1204-user-execution|T1204 — User Execution]] --- *Fonte: [MITRE ATT&CK — AN0872](https://attack.mitre.org/detectionstrategies/DET0313#AN0872)*