# AN0943 — Analytic 0943 ## Descrição Detecta a criação de tarefas agendadas via `at.exe` ou pela classe WMI `Win32_ScheduledJob`, seguida de execução de processos anômalos por `svchost.exe` ou `taskeng.exe`. A telemetria inclui logs de eventos do Windows (Event ID 4698, 4702), eventos de criação de processos e monitoramento de chamadas WMI. O uso de métodos legados de agendamento é frequentemente associado a técnicas de persistência e execução lateral em ambientes comprometidos. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1047-windows-management-instrumentation|T1047 — Windows Management Instrumentation]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0943](https://attack.mitre.org/detectionstrategies/DET0333#AN0943)*