# AN1375 — Analytic 1375 ## Descrição Detecta criação de nova sessão de logon ou token via LogonUser*/LsaLogonUser seguida de atribuição ou impersonação do token (SetThreadToken/ImpersonateLoggedOnUser) para executar ações sob um contexto de segurança recém-criado, correlacionando comando suspeito, evidência ETW de LogonUser/SetThreadToken, evento de novo logon (Event ID 4624, LogonType 9 ou 2/3) e processos subsequentes executando com LogonId/SID diferente do processo pai. Utiliza telemetria ETW, eventos do Security Log e Sysmon para identificar toda a cadeia de criação e uso de tokens de impersonação. Essa cadeia é indicativa de pass-the-hash, overpass-the-hash e técnicas de token manipulation usadas por adversários para executar movimentação lateral com credenciais alternativas. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1134-access-token-manipulation|T1134 — Access Token Manipulation]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN1375](https://attack.mitre.org/detectionstrategies/DET0498#AN1375)*