# DET0128 — Detection Strategy for Hidden Windows ## Descrição Esta estratégia detecta a técnica de execução de janelas ocultas no Windows (T1564.003), onde adversários lançam processos com atributo `SW_HIDE` para evitar visibilidade na barra de tarefas e na área de trabalho. É uma técnica clássica utilizada por malware e scripts maliciosos para executar comandos sem interação ou percepção do usuário. O principal vetor é via `PowerShell -WindowStyle Hidden`, `wscript.exe` com `CreateObject("WScript.Shell").Run()` com `intWindowStyle=0`, ou criação de processos via API Win32 `CreateProcess` com `STARTUPINFO.wShowWindow = SW_HIDE`. Loaders de malware, stagers de phishing e RATs como AsyncRAT e NjRAT utilizam esta técnica extensivamente. A telemetria inclui Sysmon Event ID 1 com campo `CommandLine` contendo `-WindowStyle Hidden` ou `-w Hidden`, e logs de criação de processo com auditoria de `STARTUPINFO`. A correlação com processo pai suspeito (como `winword.exe` ou `excel.exe` gerando PowerShell oculto) eleva a fidelidade significativamente. ## Indicadores de Detecção - PowerShell com `-WindowStyle Hidden` ou `-w h` na linha de comando - `wscript.exe` ou `cscript.exe` com `intWindowStyle=0` em criação de processo - Processo criado com `SW_HIDE` a partir de processo pai de produtividade (Office, Adobe) - `CreateProcess` com `STARTF_USESHOWWINDOW` e `wShowWindow=0` via API hooking - Script `.vbs` ou `.js` em TEMP executando processo filho com janela oculta ## Técnicas Relacionadas - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1106-native-api|T1106 — Native API]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1036-masquerading|T1036 — Masquerading]] ## Analytics Relacionadas - [[an0360-analytic-0360|AN0360 — Analytic 0360]] - [[an0361-analytic-0361|AN0361 — Analytic 0361]] - [[an0362-analytic-0362|AN0362 — Analytic 0362]] --- *Fonte: [MITRE ATT&CK — DET0128](https://attack.mitre.org/detectionstrategies/DET0128)*