# AN1031 — Analytic 1031 ## Descrição Este analítico detecta o abuso adversarial do WMI para executar comandos locais ou remotos via WMIC, PowerShell ou COM API, através de uma cadeia multi-evento: criação de processo, execução de comando e conexão de rede correspondente se a execução for remota. A telemetria utilizada inclui eventos de assinatura WMI (Sysmon EID 19/20/21), criação de processos gerada pelo WMI (EID 4688 com ppid=wmiprvse.exe) e eventos de rede para conexões WMI remotas (porta 135/445 ou DCOM). Esta detecção é fundamental porque o WMI é amplamente abusado por grupos APT e frameworks de pós-exploração como Cobalt Strike e Empire para execução remota de código sem arquivos e movimento lateral, sendo uma das técnicas mais comuns em incidentes de intrusão em redes Windows. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1047-windows-management-instrumentation|T1047 — Windows Management Instrumentation]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] --- *Fonte: [MITRE ATT&CK — AN1031](https://attack.mitre.org/detectionstrategies/DET0364#AN1031)*