# AN1351 — Analytic 1351 ## Descrição Detecta quando um processo forjá explicitamente seu processo pai usando `EXTENDED_STARTUPINFO` com `PROC_THREAD_ATTRIBUTE_PARENT_PROCESS` ou caminhos de Native API, resultando em linhagem de processo incompatível ou implausível entre ETW EventHeader ProcessId, Security 4688 Creator Process ID/Name e Sysmon ParentProcessGuid. Frequentemente combinado com escalonamento de privilégios quando o pai escolhido executa como SYSTEM. A telemetria inclui Sysmon Event ID 1 (Process Create) com ParentProcessGuid inconsistente, ETW de criação de processo e correlação de handle de processo via APIs do Windows. Esta detecção é fundamental pois spoofing de processo pai é uma técnica de evasão avançada utilizada por frameworks como Cobalt Strike para disfarçar processos maliciosos como filhos de processos legítimos do sistema, enganando ferramentas de análise de linhagem de processo. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1134-004-parent-pid-spoofing|T1134.004 — Parent PID Spoofing]] - [[t1134-access-token-manipulation|T1134 — Access Token Manipulation]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN1351](https://attack.mitre.org/detectionstrategies/DET0489#AN1351)*