# AN1560 — Analytic 1560 ## Descrição Este analítico detecta processos executando binários com nomes de utilitários legítimos do sistema (como `net.exe`, `findstr.exe`, `python.exe`) a partir de diretórios não padronizados ou específicos de aplicação, combinado com eventos de criação ou modificação desses arquivos em diretórios anômalos, técnica conhecida como masquerading de binários legítimos. A telemetria combina eventos de criação de processo do EDR com linha de comando completa e caminho de imagem, eventos de criação de arquivo, e detecção de relacionamentos pai-filho incomuns na linhagem de processos que desviam da baseline do sistema. A relevância para detecção é alta pois adversários frequentemente copiam ou renomeiam binários legítimos para diretórios não monitorados para contornar whitelists de aplicação baseadas em caminho e evitar alertas de processos suspeitos. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] - [[t1036-003-rename-system-utilities|T1036.003 — Rename System Utilities]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1059-001-powershell|T1059.001 — PowerShell]] --- *Fonte: [MITRE ATT&CK — AN1560](https://attack.mitre.org/detectionstrategies/DET0564#AN1560)*