# AN1182 — Analytic 1182 ## Descrição Detecta execução de processos que sondam artefatos de atividade do usuário (arquivos na área de trabalho, histórico de registro) após eventos recentes de login ou desbloqueio do usuário. A telemetria inclui eventos de logon do Windows (Event IDs 4624, 4800/4801 para bloqueio/desbloqueio), Sysmon para acesso a arquivos e execução de processos, e auditoria de registro para correlacionar o timing de acesso a artefatos de usuário com eventos de presença. Esse analítico detecta malware que verifica ativamente a presença do usuário antes de executar ações maliciosas mais visíveis, uma técnica de evasão de sandbox comum em ameaças avançadas. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1033-system-owner-user-discovery|T1033 — System Owner/User Discovery]] - [[t1083-file-and-directory-discovery|T1083 — File and Directory Discovery]] --- *Fonte: [MITRE ATT&CK — AN1182](https://attack.mitre.org/detectionstrategies/DET0420#AN1182)*