# AN1144 — Analytic 1144 ## Descrição Detecta autenticações NTLM anômalas do tipo LogonType 3 sem eventos de logon de domínio correspondentes, especialmente provenientes de sistemas laterais ou envolvendo ferramentas administrativas embutidas, monitorando incompatibilidades entre o contexto do usuário de origem e o sistema sendo acessado. A telemetria inclui eventos de segurança do Windows (IDs 4624, 4776, 4768), logs de Kerberos e correlação de sessões de logon com criação de processos e serviços para identificar overpass-the-hash combinando emissão de tickets Kerberos com movimentação lateral via NTLM. Esse analítico é crítico para detectar ataques Pass-the-Hash que são um componente fundamental de campanhas de movimentação lateral em ambientes Active Directory. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1558-steal-or-forge-kerberos-tickets|T1558 — Steal or Forge Kerberos Tickets]] --- *Fonte: [MITRE ATT&CK — AN1144](https://attack.mitre.org/detectionstrategies/DET0409#AN1144)*