# AN1480 — Analytic 1480 ## Descrição Detecta software novo ou atualizado entregue ou instalado de fontes atípicas ou com discrepâncias de assinatura/hash, seguido de gravação de binários em caminhos inesperados ou substituição de arquivos assinados existentes, e execução inicial causando carregamento de módulos não assinados ou processos filhos anômalos com egresso de rede para novos destinos. A telemetria inclui eventos de instalação de software, verificação de assinatura digital (Authenticode), logs de criação de processos e alertas de conexões de rede para destinos novos. Esta analítica detecta ataques de supply chain e trojans de atualização de software, vetores de comprometimento cada vez mais utilizados por grupos APT para afetar múltiplos alvos simultaneamente. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1195-supply-chain-compromise|T1195 — Supply Chain Compromise]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN1480](https://attack.mitre.org/detectionstrategies/DET0537#AN1480)*