# AN1394 — Analytic 1394 ## Descrição Detecta atividade de linha de comando que exibe padrões de ofuscação sintática, como excesso de caracteres de escape, codificação base64, concatenação de comandos ou comprimento e entropia de comandos acima do esperado. A telemetria inclui logs de criação de processos com captura de linha de comando (Sysmon Event ID 1, Windows Event ID 4688), análise estatística de entropia de strings e detecção de padrões regex para ofuscação PowerShell e CMD. Essa analítica é fundamental para detectar scripts maliciosos que evitam detecção por assinatura através de ofuscação de comandos. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1140-deobfuscate-decode|T1140 — Deobfuscaté/Decode Files or Information]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN1394](https://attack.mitre.org/detectionstrategies/DET0505#AN1394)*