# AN0909 — Analytic 0909 ## Descrição Este analytic detecta a execução incomum de binários de virtualização como `VBoxManage.exe`, `vmware-vmx.exe` ou `vmwp.exe` com argumentos headless ou de supressão de notificações, além de modificações no registro e serviços associados à instalação de virtualização oculta. A telemetria inclui eventos de criação de processo (Sysmon/EDR), modificações de metadados de serviços e escritas no registro relacionadas à habilitação de VMs ocultas em Windows. O uso de virtualização aninhada como técnica de evasão permite que adversários criem ambientes de execução isolados dentro do host comprometido, dificultando a análise forense e a detecção por soluções de segurança instaladas no sistema operacional hospedeiro. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1564-006-run-virtual-instance|T1564.006 — Run Virtual Instance]] - [[t1059-001-powershell|T1059.001 — PowerShell]] - [[t1112-modify-registry|T1112 — Modify Registry]] --- *Fonte: [MITRE ATT&CK — AN0909](https://attack.mitre.org/detectionstrategies/DET0321#AN0909)*