# AN1252 — Analytic 1252 ## Descrição Detecta cadeias comportamentais onde o PowerShell é iniciado com comandos codificados, processos pai incomuns ou módulos suspeitos carregados, potencialmente seguidos por conexões de rede ou criação de processos filhos no Windows. A telemetria inclui logs de script do PowerShell (Evento 4104), eventos de criação de processos (Sysmon EID 1) e correlação de invocações PowerShell via .NET automation. Essa análise é essencial dada a prevalência do PowerShell como ferramenta ofensiva em campanhas APT, ransomware e frameworks de pós-exploração. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1059-001-powershell|T1059.001 — PowerShell]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] --- *Fonte: [MITRE ATT&CK — AN1252](https://attack.mitre.org/detectionstrategies/DET0455#AN1252)*