# AN1288 — Analytic 1288 ## Descrição Detecta a execução de scripts e binários assinados pela Microsoft (como `pubprn.vbs`, `installutil.exe`, `wscript.exe` e `cscript.exe`) utilizados para realizar proxy da execução de binários não confiáveis ou externos. A telemetria inclui logs de criação de processos (Event ID 4688 ou Sysmon Event ID 1), linhagem de processos, carregamento de DLLs não assinadas a partir de processos pai assinados e conexões de rede originadas desses processos. Esta detecção é essencial para identificar técnicas de LOLBin (Living-off-the-Land Binaries) onde adversários utilizam ferramentas legítimas para contornar controles de execução e whitelisting de aplicações. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1218-005-mshta|T1218.005 — Mshta]] - [[t1059-005-visual-basic|T1059.005 — Visual Basic]] - [[t1027-defense-evasion|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN1288](https://attack.mitre.org/detectionstrategies/DET0466#AN1288)*