# AN1464 — Analytic 1464 ## Descrição Detecta a execução de `PubPrn.vbs` via `cscript.exe` usando o moniker `script:` para carregar e executar um arquivo scriptlet `.sct` remoto, contornando a válidação de assinatura e fazendo proxy de payloads remotos através de um host de script Microsoft assinado. A telemetria inclui logs de criação de processos (Sysmon EventID 1), análise de argumentos de linha de comando e conexões de rede de saída originadas de `cscript.exe`. Esta analítica é relevante por tratar de living-off-the-land binaries (LOLBins) — a técnica abusa de um script legítimo do Windows para executar código não assinado remotamente, evadindo controles de whitelisting de aplicações. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1216-system-script-proxy-execution|T1216 — System Script Proxy Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] --- *Fonte: [MITRE ATT&CK — AN1464](https://attack.mitre.org/detectionstrategies/DET0528#AN1464)*