# AN1324 — Analytic 1324 ## Descrição Detecta tentativas de duplicação e impersonação de token correlacionando execuções suspeitas de linha de comando (como `runas`) com chamadas às APIs `DuplicateToken`, `DuplicateTokenEx`, `ImpersonateLoggedOnUser` ou `SetThreadToken`. A cadeia de detecção inclui execução inicial de comando ou invocação de API em memória, duplicação de handle de token ou atribuição de token de thread, e um processo novo ou existente assumindo o contexto do usuário impersonado. A telemetria inclui eventos de criação de processos (Event ID 4688), logs de impersonação de token (Event IDs 4624/4648) e monitoramento de chamadas de API via EDR. Esta detecção é fundamental para identificar escalonamento de privilégios onde adversários roubam tokens de segurança de processos mais privilegiados para operar com permissões elevadas sem explorar vulnerabilidades adicionais. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1134-access-token-manipulation|T1134 — Access Token Manipulation]] - [[t1134-001-token-impersonation-theft|T1134.001 — Token Impersonation/Theft]] - [[t1134-002-create-process-with-token|T1134.002 — Create Process with Token]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1324](https://attack.mitre.org/detectionstrategies/DET0482#AN1324)*