# AN0973 — Analytic 0973 ## Descrição Este analítico detecta o abuso de mecanismos de armazenamento sem arquivo (fileless) no Windows — como chaves de Registro, classes WMI e Event Logs — usados para staging de payloads, scripts ou conteúdo codificado fora do sistema de arquivos tradicional. A telemetria utilizada abrange eventos de modificação de Registro (Sysmon EID 13), assinaturas de WMI (EID 19/20/21) e monitoramento de Event Log para entradas anômalas contendo dados codificados em base64 ou shellcode. Esta detecção é crítica porque técnicas fileless são amplamente usadas por APTs e ransomware para evitar detecção baseada em arquivos e antivírus tradicionais, permitindo persistência e execução sem deixar artefatos em disco. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1112-modify-registry|T1112 — Modify Registry]] --- *Fonte: [MITRE ATT&CK — AN0973](https://attack.mitre.org/detectionstrategies/DET0344#AN0973)*