# AN1561 — Analytic 1561 ## Descrição Este analítico detecta acesso a chaves de registro de idioma do sistema (como `HKLM\SYSTEM\CurrentControlSet\Control\Nls\Language`) ou processos suspeitos invocando APIs relacionadas a locale (`GetUserDefaultUILanguage`, `GetSystemDefaultUILanguage`, `GetKeyboardLayoutList`), com foco em binários desconhecidos ou scripts que emitem essas queries como parte de verificação de ambiente alvo. A telemetria é obtida via auditoria de registro do Windows (Event ID 4663) e monitoramento de chamadas de API do EDR que identificam processos incomuns consultando configurações de idioma do sistema. Essa detecção é relevante pois diversas famílias de malware como NotPetya e ataques de grupos russos consultam o idioma do sistema para evitar execução em países específicos (ex.: Rússia), permitindo identificar malware com lógica de seleção geográfica de vítimas. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1614-system-location-discovery|T1614 — System Location Discovery]] - [[t1614-001-system-language-discovery|T1614.001 — System Language Discovery]] - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] --- *Fonte: [MITRE ATT&CK — AN1561](https://attack.mitre.org/detectionstrategies/DET0565#AN1561)*