# AN1064 — Analytic 1064 ## Descrição Este analítico correlaciona a execução de scripts ou processos pai suspeitos com a criação ou modificação de formatos de arquivo codificados, comprimidos ou criptografados (como `.zip`, `.7z`, `.enc`) e sintaxe anômala de linha de comando ou ofuscação do PowerShell. Utiliza telemetria de Sysmon (Event IDs 1, 11), Script Block Logging do PowerShell e monitoramento de integridade de arquivos para identificar staging de dados antes de exfiltração. A detecção é fundamental para capturar a fase de preparação de exfiltração, onde adversários empacotam e criptografam dados coletados antes de enviá-los para fora da rede. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1074-data-staged|T1074 — Data Staged]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN1064](https://attack.mitre.org/detectionstrategies/DET0378#AN1064)*