# AN1174 — Analytic 1174 ## Descrição Monitora execução de `powercfg.exe` com argumentos modificando configurações de sono, hibernação ou timeouts de exibição, identificando modificações anômalas ou repetidas fora de baselines administrativos que podem indicar tentativas de persistência. A telemetria inclui eventos de criação de processos do Windows (Event ID 4688, Sysmon Event ID 1), monitoramento de modificações no Registro (chaves de gerenciamento de energia) e logs de configuração do sistema para construir cadeias comportamentais completas. Adversários modificam configurações de energia para evitar que sistemas entrem em modo de suspensão, garantindo disponibilidade contínua de acesso remoto e canais C2 mesmo em sistemas de usuários que ficam inativos. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1205-traffic-signaling|T1205 — Traffic Signaling]] --- *Fonte: [MITRE ATT&CK — AN1174](https://attack.mitre.org/detectionstrategies/DET0417#AN1174)*