# AN1357 — Analytic 1357 ## Descrição Detecta uso anômalo de COM, DDE ou named pipes para execução de código, correlacionando criação ou acesso a mecanismos IPC (como named pipes, objetos COM) com relações incomuns de processo pai-filho ou padrões de injeção de código (como Office gerando `cmd.exe` via DDE). A telemetria inclui eventos de criação de named pipes (Sysmon Event ID 17/18), eventos de criação de processos com linhagem anômala, alertas sobre uso de DDE em documentos Office e monitoramento de objetos COM via ETW. Esta detecção é importante para identificar técnicas de execução que abusam de mecanismos legítimos de comunicação entre processos do Windows para executar código malicioso ou se injetar em processos legítimos, contornando controles de execução convencionais. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1559-inter-process-communication|T1559 — Inter-Process Commúnication]] - [[t1559-001-component-object-model|T1559.001 — Component Object Model]] - [[t1559-002-dynamic-data-exchange|T1559.002 — Dynamic Data Exchange]] - [[t1055-process-injection|T1055 — Process Injection]] --- *Fonte: [MITRE ATT&CK — AN1357](https://attack.mitre.org/detectionstrategies/DET0493#AN1357)*