# AN0297 — Analytic 0297 ## Descrição Esta analítica detecta injeção de PE por meio de uma sequência comportamental onde um processo abre handle em outro via `OpenProcess`, aloca memória remota com `VirtualAllocEx`, grava um header PE (MZ) ou shellcode via `WriteProcessMemory`, e então inicia uma nova thread com `CreateRemoteThread` ou `NtCreateThreadEx` nesse processo, executando código injetado em memória sem tocar o disco. A telemetria inclui Sysmon Event IDs 8 e 10 para acesso remoto a processo e criação de thread, além de logs de EDR para sequências de chamadas de API suspeitas. A detecção é fundamental pois a injeção de PE em memória é a base de operação de frameworks C2 como Cobalt Strike, Metasploit e malwares bancários brasileiros de alto nível. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1055-process-injection|T1055 — Process Injection]] - [[t1055-002-portable-executable-injection|T1055.002 — Portable Executable Injection]] - [[t1620-reflective-code-loading|T1620 — Reflective Code Loading]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN0297](https://attack.mitre.org/detectionstrategies/DET0106#AN0297)*