# AN1134 — Analytic 1134 ## Descrição Correlaciona a execução de arquivos LNK com extração de recursos embutidos ou atividade de rede suspeita após o lançamento inicial, frequentemente resultando em entrega de payload via ícones disfarçados. A telemetria baseia-se em logs do Sysmon (criação de processos, acesso a arquivos, conexões de rede) e eventos de criação de arquivos temporários para identificar a cadeia de execução desde o LNK até o payload secundário. Arquivos LNK maliciosos são amplamente utilizados em campanhas de spear-phishing, tornando esse analítico relevante para detecção de acesso inicial em ambientes corporativos. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1204-user-execution|T1204 — User Execution]] - [[t1566-phishing|T1566 — Phishing]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1134](https://attack.mitre.org/detectionstrategies/DET0405#AN1134)*