# AN1095 — Analytic 1095 ## Descrição Este analítico detecta injeção de DLL através da correlação de alocação de memória e escrita na memória de processo remoto (`VirtualAllocEx`, `WriteProcessMemory`), seguida de criação de thread remoto (`CreateRemoteThread`) que carrega uma DLL suspeita ou não assinada via `LoadLibrary` ou carregamento reflexivo. Utiliza telemetria de Sysmon (Event IDs 8, 10) e monitoramento de chamadas de API do Windows para identificar a sequência característica de injeção de DLL. A detecção é crítica porque DLL injection é uma das técnicas de evasão e persistência mais utilizadas por APTs e ransomware para executar código malicioso dentro de processos legítimos do sistema. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1055-process-injection|T1055 — Process Injection]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1055.001-dynamic-link-library-injection|T1055.001 — Dynamic-link Library Injection]] --- *Fonte: [MITRE ATT&CK — AN1095](https://attack.mitre.org/detectionstrategies/DET0389#AN1095)*