# AN0992 — Analytic 0992 ## Descrição Este analítico detecta comprometimento drive-by no Windows, identificando criações suspeitas de arquivos e execuções de processos disparadas por atividade do navegador — como payloads injetados escritos em `%AppData%` ou `%Temp%` e subsequentemente executados. A telemetria utilizada inclui eventos de criação de arquivos (Sysmon EID 11) correlacionados com o processo pai do navegador (Chrome, Edge, Firefox), seguidos de anomalias de rede e criação de processos (EID 1) originados dos diretórios de cache. A detecção é importante porque ataques drive-by são o vetor de entrega preferêncial para kits de exploração e malvertising, responsáveis por comprometer usuários sem qualquer interação além de visitar uma página web aparentemente legítima. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1189-drive-by-compromise|T1189 — Drive-by Compromise]] - [[t1203-exploitation-for-client-execution|T1203 — Exploitation for Client Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN0992](https://attack.mitre.org/detectionstrategies/DET0349#AN0992)*