# AN0995 — Analytic 0995 ## Descrição Este analítico detecta o lançamento de versões antigas do PowerShell (ex.: v2) ou outros binários legados que carecem de funcionalidades de logging ou segurança, além de monitorar mudanças no Registro que podem indicar downgrades intencionais do Defender ou HVCI. A telemetria utilizada inclui eventos de criação de processos (EID 4688/Sysmon EID 1) com análise de argumentos de linha de comando para `-version 2` e monitoramento de modificações no Registro nas chaves de controle do Windows Defender e Device Guard. Esta detecção é crítica porque o downgrade para PowerShell v2 é uma técnica clássica de evasão de logging (Script Block Logging e AMSI não estão disponíveis em v2), amplamente usada por atores como APT29 e operadores de Cobalt Strike. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN0995](https://attack.mitre.org/detectionstrategies/DET0350#AN0995)*