# AN1381 — Analytic 1381 ## Descrição Detecta atividade de compilação usando csc.exe, ilasm.exe ou msbuild.exe iniciada por processos de espaço de usuário fora de ambientes de desenvolvimento típicos, seguida de execução ou atividade de rede a partir de binários recém-escritos. Utiliza eventos de criação de processos (Sysmon Event ID 1) e telemetria de escrita de arquivos para correlacionar invocação de compiladores .NET com execução subsequente de artefatos compilados em diretórios temporários ou não padrão. Técnica conhecida como "compile-and-run" é usada por adversários para executar código malicioso evitando detecção baseada em hash, tornando este analítico essencial para ambientes onde scripts .NET são incomuns. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1620-reflective-code-loading|T1620 — Reflective Code Loading]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN1381](https://attack.mitre.org/detectionstrategies/DET0501#AN1381)*