# AN1116 — Analytic 1116 ## Descrição Este analítico detecta persistência baseada em Office via macros em templates, formulários/regras/homepage do Outlook ou scripts persistentes no Registro. O adversário modifica chaves do Registro ou diretórios da aplicação Office para carregar scripts maliciosos na inicialização. Utiliza telemetria de Sysmon, monitoramento de integridade de arquivos e eventos de Registro do Windows para identificar modificações em caminhos de templaté do Office. A detecção é fundamental porque macros persistentes em templates do Office e regras do Outlook são vetores clássicos de persistência usados por APTs e grupos de espionagem corporativa para manter acesso em ambientes Windows. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1137-office-application-startup|T1137 — Office Application Startup]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1566-phishing|T1566 — Phishing]] --- *Fonte: [MITRE ATT&CK — AN1116](https://attack.mitre.org/detectionstrategies/DET0398#AN1116)*