# AN1216 — Analytic 1216 ## Descrição Detecta a relocação de executáveis maliciosos via ações de cópia ou movimentação entre pastas suspeitas (por exemplo, de Downloads para System32), seguida de exclusão da fonte original ou renomeação para se misturar com binários legítimos. A telemetria inclui eventos de cópia/movimentação de arquivos entre diretórios monitorados, alterações de nome de arquivo e correlação com execução de processos subsequentes. Essa técnica é usada por adversários para apagar rastros de origem e evitar a detecção por scanners baseados em caminho. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] - [[t1036.003-rename-system-utilities|T1036.003 — Rename System Utilities]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN1216](https://attack.mitre.org/detectionstrategies/DET0439#AN1216)*