# AN0983 — Analytic 0983 ## Descrição Este analítico detecta a técnica de mascaramento (masquerading) no Windows, onde processos ou binários executados em diretórios confiáveis (como System32) ou usando nomes de sistema legítimos (como `svchost.exe`) apresentam metadados, hash ou processo pai inconsistentes com o padrão de atividade legítima. A telemetria utilizada inclui eventos de criação de processos com verificação de assinatura digital (Sysmon EID 1), comparação de hash com base de referência e análise de Process Tree para identificar anomalias na linhagem parental do processo. Esta detecção é crítica porque mascaramento é uma técnica central de evasão usada por APTs e ransomware para ocultar payloads maliciosos em plain sight, dificultando a triagem por analistas SOC. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN0983](https://attack.mitre.org/detectionstrategies/DET0347#AN0983)*