# AN1528 — Analytic 1528 ## Descrição Este analítico detecta a criação ou execução de arquivos binários com padding artificial (arquivos com tamanho desproporcional em relação ao conteúdo funcional), uma técnica usada por adversários para evadir controles de tamanho máximo de upload em sandboxes e soluções de segurança. A telemetria inclui eventos de criação de arquivo do EDR, hashes de arquivo e metadados de tamanho, correlacionados com subsequente execução de processo ou movimentação lateral originada do mesmo host. Essa detecção é importante pois o padding de binários é uma técnica de evasão de defesa conhecida utilizada por grupos como Lazarus para contornar análise automatizada. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1027-001-binary-padding|T1027.001 — Binary Padding]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1528](https://attack.mitre.org/detectionstrategies/DET0553#AN1528)*