# AN1564 — Analytic 1564 ## Descrição Este analítico detecta processos de Office ou visualizadores de documento (como `winword.exe`) iniciando conexões de rede para templates remotos ou executando scripts devido a referências de templaté manipuladas em arquivos `.docx`, `.rtf` ou `.dotm`, seguido de criação suspeita de processos filho como PowerShell. A telemetria combina eventos de criação de processo do EDR, logs de firewall/proxy que capturam conexões iniciadas por processos Office para URLs de templaté, e eventos de Script Block Logging do PowerShell que evidênciam código baixado e executado. A relevância é alta pois Templaté Injection via documentos Word é uma técnica de acesso inicial amplamente utilizada em ataques de spear-phishing, especialmente por grupos como APT29 e Gamaredon, para contornar detecção de macros em documentos. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1221-template-injection|T1221 — Templaté Injection]] - [[t1566-001-spearphishing-attachment|T1566.001 — Spearphishing Attachment]] - [[t1059-001-powershell|T1059.001 — PowerShell]] - [[t1204-002-malicious-file|T1204.002 — User Execution: Malicious File]] --- *Fonte: [MITRE ATT&CK — AN1564](https://attack.mitre.org/detectionstrategies/DET0566#AN1564)*