# AN0126 — Analytic 0126 ## Descrição Detecta inconsistências entre argumentos de linha de comando de processos registrados no momento da criação e o comportamento subsequente do processo, especialmente quando lançados em estado suspenso seguidos de modificações de memória (WriteProcessMemory visando o PEB) que sobrescrevem argumentos antes da retomada da execução. A telemetria inclui logs do Sysmon (Event ID 1 para argumentos de processo, Event ID 8 para CreateRemoteThread, Event ID 10 para acesso a processo), correlação com comportamento anômalo (conexões de rede, gravações de arquivo, modificações de registro) que contradizem os argumentos de linha de comando registrados. Este analítico detecta técnicas avançadas de evasão usadas por frameworks como Cobalt Strike e Brute Ratel para ofuscar a verdadeira natureza dos processos spawned. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1055-process-injection|T1055 — Process Injection]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN0126](https://attack.mitre.org/detectionstrategies/DET0045#AN0126)*