# AN1253 — Analytic 1253 ## Descrição Detecta criação de processos onde a identidade de segurança (SID/LogonId/IntegrityLevel) difere do processo pai, indicando uso de CreateProcessWithTokenW, CreateProcessAsUserW ou runas para executar código em contexto de outro usuário. A telemetria inclui eventos de criação de processos do Windows (EID 4688, Sysmon EID 1) com campos de contexto de usuário, correlacionados com eventos de duplicação de token ou abertura de handle privilegiado. Essa análise detecta escalada de privilégios e técnicas de impersonação que adversários utilizam para executar código com credenciais de alto privilégio. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1134-access-token-manipulation|T1134 — Access Token Manipulation]] - [[t1134.001-token-impersonation-theft|T1134.001 — Token Impersonation/Theft]] - [[t1134.002-create-process-with-token|T1134.002 — Create Process with Token]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] --- *Fonte: [MITRE ATT&CK — AN1253](https://attack.mitre.org/detectionstrategies/DET0456#AN1253)*