# AN2029 — Analytic 2029 ## Descrição Este analítico detecta processos Windows sem contexto de interface gráfica (como `powershell.exe` ou `wscript.exe`) que geram tráfego HTTP com cabeçalho User-Agent falsificado imitando um navegador legítimo, enquanto nenhuma aplicação de navegador correspondente está ativa ou na hierarquia de processos pai. A telemetria utilizada inclui logs de rede para identificar User-Agents anômalos originados por processos de linha de comando, dados de monitoramento de processos para verificar a ausência de navegadores na linhagem de pai e comparação com baselines de User-Agent conhecidos do ambiente corporativo. O analítico é importante porque adversários frequentemente falsificam User-Agents para que tráfego C2 gerado por scripts se misture com tráfego de navegação legítima, contornando inspeções baseadas em User-Agent. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN2029](https://attack.mitre.org/detectionstrategies/DET0898#AN2029)*