# AN0277 — Analytic 0277 ## Descrição Esta analítica detecta comportamento de injeção maliciosa envolvendo alocação de memória remota, enfileiramento de thread via APC (`QueueUserAPC`) e contexto de thread alterado dentro de outro processo vivo para executar código não autorizado sob contexto legítimo. A telemetria inclui logs de chamadas de API de processo monitorados por Sysmon (Event IDs 8, 10) e EDR rastreando `OpenProcess`, `WriteProcessMemory` e manipulação de thread. A detecção é crítica pois a injeção via APC é técnica avançada de evasão utilizada por frameworks C2 como Cobalt Strike e por malwares bancários brasileiros para injetar código em processos legítimos. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1055-process-injection|T1055 — Process Injection]] - [[t1055-004-asynchronous-procedure-call|T1055.004 — Asynchronous Procedure Call]] - [[t1620-reflective-code-loading|T1620 — Reflective Code Loading]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] --- *Fonte: [MITRE ATT&CK — AN0277](https://attack.mitre.org/detectionstrategies/DET0100#AN0277)*