# AN1393 — Analytic 1393 ## Descrição Detecta uso anômalo de Dynamic Data Exchange (DDE) para execução de código, como aplicativos Office (`WINWORD.EXE`, `EXCEL.EXE`) gerando interpretadores de comando, ou carregando módulos incomuns através de fórmulas DDEAUTO/DDE. A telemetria inclui eventos de criação de processos filhos de aplicativos Office, chaves de registro que habilitam DDE e carregamentos de módulos inconsistentes com uso normal do Office. O DDE foi amplamente explorado em campanhas de spear-phishing entre 2017–2019 e permanece relevante como vetor de execução em documentos Office maliciosos. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1559-inter-process-communication|T1559 — Inter-Process Commúnication]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1566-phishing|T1566 — Phishing]] --- *Fonte: [MITRE ATT&CK — AN1393](https://attack.mitre.org/detectionstrategies/DET0504#AN1393)*