# AN1048 — Analytic 1048 ## Descrição Este analítico detecta o uso correlacionado de mecanismos de sleep/delay (como `kernel32!Sleep`, APIs NTDLL) em processos de curta duração, combinado com processos pai que invocam scripts suspeitos (como `wscript`, `powershell`) com mínima interação do usuário. Utiliza telemetria de execução de processos (Sysmon Event ID 1), monitoramento de chamadas de API e análise de comportamento temporal. A detecção é importante porque stagers de malware frequentemente usam delays intencionais para evadir sandboxes com tempo de análise limitado antes de executar o payload principal. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN1048](https://attack.mitre.org/detectionstrategies/DET0372#AN1048)*