# AN1213 — Analytic 1213 ## Descrição Detecta rotinas personalizadas de compressão ou criptografia por meio de execução anômala de scripts ou binários que produzem arquivos de alta entropia sem utilizar utilitários de arquivamento padrão. A telemetria inclui execução de scripts, uso de API de memória (operações bitwise, chamadas CryptoAPI) e criação de arquivos semelhantes a arquivos comprimidos com cabeçalhos incomuns. Essa análise é essencial para identificar exfiltração de dados onde adversários preparam informações para transmissão utilizando criptografia ou compressão customizada. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1059-001-powershell|T1059.001 — PowerShell]] --- *Fonte: [MITRE ATT&CK — AN1213](https://attack.mitre.org/detectionstrategies/DET0438#AN1213)*