# AN1207 — Analytic 1207 ## Descrição Detecta abuso do utilitário mavinject.exe para injetar DLLs ou descritores de importação em processos em execução. A telemetria inclui a cadeia de eventos: mavinject.exe iniciado com /INJECTRUNNING ou /HMODULE, aquisição de handles de alto acesso ao processo-alvo (VM_WRITE/CREATE_THREAD), carregamento de DLL maliciosa e atividade de rede subsequente originada do processo injetado. Essa análise é relevante porque o mavinject.exe é um binário legítimo assinado pela Microsoft, frequentemente usado por adversários como LOLBin para contornar controles de segurança. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1055-process-injection|T1055 — Process Injection]] - [[t1055.001-dll-injection|T1055.001 — DLL Injection]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] --- *Fonte: [MITRE ATT&CK — AN1207](https://attack.mitre.org/detectionstrategies/DET0433#AN1207)*