# AN1305 — Analytic 1305 ## Descrição Detecta a cadeia comportamental de keying de ambiente específica do Windows, onde malware válida o ambiente alvo antes de executar seu payload: coleta rápida de informações do sistema via WMI e registro, válidação de artefatos ambientais como domínio AD e topologia de rede, operações criptográficas correlacionadas com valores coletados, execução de código malicioso após válidação bem-sucedida e agrupamento temporal de atividades de descoberta automatizadas. A telemetria inclui logs de eventos WMI (Event ID 4688), consultas de registro, chamadas de API criptográfica e correlação temporal de múltiplas atividades de descoberta. Esta detecção é fundamental para identificar malware que implementa técnicas anti-análise baseadas em ambiente, tornando-o inativo em sandboxes mas ativo no alvo real. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1016-system-network-configuration-discovery|T1016 — System Network Configuration Discovery]] - [[t1083-file-and-directory-discovery|T1083 — File and Directory Discovery]] - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] --- *Fonte: [MITRE ATT&CK — AN1305](https://attack.mitre.org/detectionstrategies/DET0474#AN1305)*