# AN1061 — Analytic 1061 ## Descrição Este analítico detecta carregamento não autorizado ou anômalo de drivers e DLLs em modo kernel, serviços ocultos ou modificações anormais em componentes de boot indicativos de atividade de rootkit no Windows. Utiliza telemetria de eventos de carregamento de driver (Sysmon Event ID 6), verificação de assinatura de código e análise de integridade de boot (Secure Boot logs). A detecção é essencial para identificar rootkits avançados usados por APTs para manter persistência profunda no sistema, contornando soluções de segurança convencionais baseadas em userspace. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1014-rootkit|T1014 — Rootkit]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN1061](https://attack.mitre.org/detectionstrategies/DET0377#AN1061)*