# AN0786 — Analytic 0786 ## Descrição Esta analítica detecta cadeias de manipulação de token no Windows, identificando uso de APIs relacionadas a tokens (LogonUser, DuplicateTokenEx) ou comandos (runas), seguido de spawn de novo processo com contexto de segurança diferente (ex: SYSTEM), com linhagem pai-filho incompatível ou anomalias em dados de token/PPID do Event Tracing for Windows (ETW). A telemetria inclui Sysmon Event ID 1 (criação de processo com inconsistência de PPID), ETW do Windows para operações de token e logs de auditoria de segurança (Event ID 4648, 4672). A detecção é crítica para identificar ataques de impersonação e escalada de privilégios que usam tokens roubados para executar processos com credenciais de outro usuário sem conhecer sua senha. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1134-access-token-manipulation|T1134 — Access Token Manipulation]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0786](https://attack.mitre.org/detectionstrategies/DET0283#AN0786)*