# AN1314 — Analytic 1314 ## Descrição Detecta a cadeia causa-efeito de execução a partir de arquivos entregues via aplicações de usuário no Windows: (1) aplicação de usuário (Office/PDF/arquivador/browser) registra um evento de abertura ou anômalo; (2) arquivo baixado é criado em caminho gravável pelo usuário e/ou descomprimido; (3) aplicação pai gera um LOLBin (como `powershell`, `cmd`, `mshta`, `rundll32`, `msiexec`, `wscript` ou `expand`); (4) tráfego HTTP/HTTPS/DNS/SMB imediato da mesma linhagem. A telemetria inclui eventos de criação de processos, acesso a arquivos e conexões de rede via Sysmon ou EDR. Esta detecção visa a fase de entrega e execução inicial de ataques baseados em spear-phishing que exploram aplicações legítimas de usuário para baixar e executar payloads de segunda fase. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1566-phishing|T1566 — Phishing]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1314](https://attack.mitre.org/detectionstrategies/DET0478#AN1314)*