# AN1397 — Analytic 1397 ## Descrição Detecta a execução de mshta.exe com argumentos de linha de comando que referênciam conteúdo HTA ou script remoto/local (VBScript/JScript), seguida de criação de arquivos, recuperação de dados pela rede ou criação de processos filhos que indicam execução de payload fora do contexto de segurança padrão do Internet Explorer. A correlação inclui análise de linhagem de processo pai, inspeção de argumentos de linha de comando e conexões de rede com endpoints não confiáveis ou anômalos. Esse analytic é essencial para detectar living-off-the-land binaries (LOLBins) utilizados por atores de ameaça para executar código arbitrário em sistemas Windows. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1218-005-mshta|T1218.005 — Mshta]] - [[t1059-007-javascript|T1059.007 — JavaScript]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN1397](https://attack.mitre.org/detectionstrategies/DET0506#AN1397)*