# AN1551 — Analytic 1551 ## Descrição Este analítico detecta a cadeia comportamental de válidação de ambiente Windows executada por malware antes da ativação da payload: reconhecimento rápido de sistema via queries WMI, enumeração de registro e descoberta de compartilhamentos de rede, coleta de artefatos ambientais específicos (hostname, domínio, IPs, software instalado, identificadores de hardware), operações criptográficas ou lógica condicional baseada nos valores coletados, e execução seletiva de payload contingente nos resultados de válidação. A telemetria combina eventos de criação de processo do EDR, logs de auditoria WMI e eventos de acesso ao registro do Windows que capturam sequências temporais rápidas de descoberta seguidas de execução condicional. Essa detecção é fundamental para identificar malware "sandbox-aware" que só ativa payloads maliciosas em ambientes de produção genuínos, evitando análise automatizada. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1016-system-network-configuration-discovery|T1016 — System Network Configuration Discovery]] - [[t1057-process-discovery|T1057 — Process Discovery]] --- *Fonte: [MITRE ATT&CK — AN1551](https://attack.mitre.org/detectionstrategies/DET0562#AN1551)*