# AN1535 — Analytic 1535 ## Descrição Este analítico detecta o uso abusivo de `MSBuild.exe` fora de contextos legítimos de desenvolvimento, identificando invocações com caminhos não canônicos, valores de propriedade ofuscados em Base64, ou argumentos anômalos seguidos de spawn de LOLBins, criação de artefatos maliciosos em diretórios graváveis pelo usuário, injeção de memória ou conexões de rede de saída. A telemetria inclui eventos de criação de processo do EDR com linha de comando completa, eventos de carregamento de módulos, e logs de rede que capturam conexões iniciadas por MSBuild em contextos suspeitos. Essa detecção é crítica pois o MSBuild é um binário confiável do sistema (Living off the Land Binary) frequentemente abusado para execução de código arbitrário contornando whitelist de aplicações. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1127-001-msbuild|T1127.001 — Trusted Developer Utilities Proxy Execution: MSBuild]] - [[t1127-trusted-developer-utilities-proxy-execution|T1127 — Trusted Developer Utilities Proxy Execution]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1059-001-powershell|T1059.001 — PowerShell]] --- *Fonte: [MITRE ATT&CK — AN1535](https://attack.mitre.org/detectionstrategies/DET0556#AN1535)*