# AN0822 — Analytic 0822 ## Descrição Esta analítica detecta o sequestro de thread existente (OpenThread) por meio de uma cadeia comportamental que envolve suspensão de thread (SuspendThread), modificação de memória (VirtualAllocEx + WriteProcessMemory), manipulação de contexto (SetThreadContext) e retomada do thread (ResumeThread) — tudo no espaço de endereço de outro processo em execução. A telemetria utilizada inclui chamadas de sistema monitoradas via ETW (Event Tracing for Windows) e sensores de EDR que rastreiam operações de manipulação de memória cross-process. Esta detecção é importante pois o thread hijacking é amplamente utilizado por frameworks de C2 como Cobalt Strike para injetar código malicioso em processos legítimos e evadir detecções baseadas em assinatura. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1055-process-injection|T1055 — Process Injection]] - [[t1055-003-thread-execution-hijacking|T1055.003 — Thread Execution Hijacking]] - [[t1134-access-token-manipulation|T1134 — Access Token Manipulation]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN0822](https://attack.mitre.org/detectionstrategies/DET0295#AN0822)*