# AN1206 — Analytic 1206 ## Descrição Detecta uso suspeito de atributos de arquivo NTFS, como Alternate Data Streams (ADS) ou Extended Attributes (EA), para ocultar dados ou cargas maliciosas. A telemetria inclui eventos de criação e modificação de arquivos com sintaxe de dois-pontos (arquivo.ext:ads), chamadas de API como ZwSetEaFile/ZwQueryEaFile e execução de utilitários PowerShell com parâmetros -stream. Essa técnica é amplamente utilizada por adversários para esconder payloads em arquivos aparentemente legítimos, dificultando a detecção por ferramentas antivírus tradicionais. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1564.004-ntfs-file-attributes|T1564.004 — NTFS File Attributes]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1059-001-powershell|T1059.001 — PowerShell]] --- *Fonte: [MITRE ATT&CK — AN1206](https://attack.mitre.org/detectionstrategies/DET0432#AN1206)*