# AN1298 — Analytic 1298 ## Descrição Detecta manipulação de diretórios compartilhados por adversários por meio de drops de arquivos maliciosos (como LNK, EXE ou VBS) seguidos de execução pelo usuário ou atividade de rede suspeita. A telemetria inclui logs de auditoria de acesso a arquivos (Event ID 4663), eventos de criação de processos originados de caminhos de compartilhamento de rede e alertas de EDR sobre execução de arquivos em diretórios compartilhados. Esta detecção é relevante para identificar técnicas de contaminação de compartilhamentos de rede onde adversários depositam payloads em diretórios acessíveis a múltiplos usuários para obter execução de código adicional ou movimentação lateral. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1080-taint-shared-content|T1080 — Taint Shared Content]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1021-002-smb-windows-admin-shares|T1021.002 — SMB/Windows Admin Shares]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN1298](https://attack.mitre.org/detectionstrategies/DET0471#AN1298)*