# AN1428 — Analytic 1428 ## Descrição Detecta a execução de intérpretes de script ou comando como powershell.exe, cmd.exe ou wscript.exe fora das janelas de tempo administrativas esperadas ou em contextos de usuário anômalos, frequentemente seguida de argumentos codificados/ofuscados ou eventos de execução secundária. A telemetria baseia-se em eventos de criação de processo do Windows (Sysmon EventID 1, Windows EventID 4688) com análise de argumentos de linha de comando, horário de execução e linhagem de processo pai para identificar padrões fora do comportamento basal do host. Essa detecção é central para identificar a fase de execução em ataques Windows, onde adversários utilizam intérpretes nativos para executar payloads enquanto evitam a criação de novos executáveis detectáveis por soluções antivírus. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1059-001-powershell|T1059.001 — PowerShell]] - [[t1059-003-windows-command-shell|T1059.003 — Windows Command Shell]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1428](https://attack.mitre.org/detectionstrategies/DET0516#AN1428)*