# AN1458 — Analytic 1458 ## Descrição Detecta arquivamento adversarial de arquivos antes da exfiltração, correlacionando a execução de utilitários de compressão/criptografia como `makecab.exe`, `rar.exe`, `7z.exe` ou `Compress-Archive` do PowerShell com a criação subsequente de arquivos comprimidos ou criptografados de grande tamanho. A telemetria inclui logs de criação de processos (Sysmon), eventos de acesso a arquivos e operações de escrita em diretórios temporários ou de staging. Esta analítica é crítica para interromper a cadeia de exfiltração antes que dados sensíveis deixem o ambiente, detectando o estágio de preparação onde coleções de arquivos são empacotadas para transferência. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1074-data-staged|T1074 — Data Staged]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1458](https://attack.mitre.org/detectionstrategies/DET0526#AN1458)*