# AN1076 — Analytic 1076 ## Descrição Este analítico detecta o comportamento adversarial de process hollowing, onde um processo é criado em estado suspenso (flag `CREATE_SUSPENDED` via `CreateProcess`), sua memória é desmapeada (`NtUnmapViewOfSection`) e substituída por código malicioso via `VirtualAllocEx`/`WriteProcessMemory`, com posterior execução via `SetThreadContext` e `ResumeThread`. Utiliza telemetria de Sysmon (Event ID 8 — CreateRemoteThread) e monitoramento de chamadas de API do Windows para identificar essa sequência de manipulação de memória de processo. A detecção é fundamental porque process hollowing é uma técnica clássica de evasão usada por APTs para executar código malicioso dentro de processos legítimos do Windows. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1055-process-injection|T1055 — Process Injection]] - [[t1055.012-process-hollowing|T1055.012 — Process Hollowing]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1076](https://attack.mitre.org/detectionstrategies/DET0382#AN1076)*