# AN1094 — Analytic 1094 ## Descrição Este analítico detecta uma cadeia de eventos multi-etapa envolvendo tentativas de bypass de UAC via binários conhecidos com auto-elevação (como `eventvwr.exe`, `sdclt.exe`), alterações não autorizadas em chaves do Registro relacionadas ao UAC e execução anômala de processos com privilégios elevados sem linhagem pai-filho padrão. Padrões suspeitos incluem invocação de objetos COM com auto-elevação ou manipulação de entradas `isolatedCommand` do Registro sem prompts de consentimento. Utiliza telemetria de Sysmon e eventos de segurança do Windows para correlacionar a sequência completa de bypass. A detecção é fundamental porque bypass de UAC é uma técnica pré-requisito para escalonamento de privilégios local em sistemas Windows, amplamente usada por ransomware e APTs. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1094](https://attack.mitre.org/detectionstrategies/DET0388#AN1094)*