# AN1186 — Analytic 1186 ## Descrição Detecta modificações de chaves de registro em caminhos IFEO (Image File Execution Options), especialmente o valor `Debugger` configurado para binários de segurança ou acessibilidade, seguido de execução anômala de processos com flags de debugger ou acesso SYSTEM no login. A telemetria inclui eventos de modificação de registro do Windows (Event ID 4657), Sysmon para eventos de criação de processo (Event ID 1) e acesso a tokens de processo para correlacionar modificações IFEO com execução suspeita subsequente. O abuso de IFEO é uma técnica clássica de persistence e escalação de privilégios que permite execução de código arbitrário substituindo debuggers de programas legítimos, especialmente eficaz contra ferramentas de acessibilidade executadas na tela de login. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN1186](https://attack.mitre.org/detectionstrategies/DET0422#AN1186)*