# AN1468 — Analytic 1468 ## Descrição Detecta acesso remoto a compartilhamentos de arquivos SMB seguido de ações de movimentação lateral como criação de serviços remotos, agendamento de tarefas ou execução suspeita de processos no host alvo usando compartilhamentos ADMIN$ ou C$. A telemetria inclui logs de eventos de acesso a objetos do Windows (EventID 5140, 5145), eventos de criação de processos remotos e logs do serviço Windows (EventID 7045). Esta analítica é crítica para detectar técnicas de movimentação lateral amplamente utilizadas por operadores de ransomware e grupos APT que se propagam lateralmente após comprometer as primeiras credenciais de domínio. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1021-remote-services|T1021 — Remote Services]] - [[t1570-lateral-tool-transfer|T1570 — Lateral Tool Transfer]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] --- *Fonte: [MITRE ATT&CK — AN1468](https://attack.mitre.org/detectionstrategies/DET0530#AN1468)*