# AN1398 — Analytic 1398 ## Descrição Detecta quando um adversário obtém privilégios elevados (como SeDebugPrivilege), localiza um processo de navegador em execução, abre-o com direitos de escrita/injeção e o modifica via CreateRemoteThread ou carregamento de DLL para herdar cookies e tokens de sessão ou estabelecer um pivô no navegador. A telemetria correlaciona eventos de API de manipulação de memória, abertura de handles de processo e sessões de logon explícitas que acessam recursos da intranet por meio do processo do navegador comprometido. Essa técnica é frequentemente usada por atores avançados para contornar autenticação multifator ao reutilizar sessões autenticadas de navegadores. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1185-browser-session-hijacking|T1185 — Browser Session Hijacking]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] --- *Fonte: [MITRE ATT&CK — AN1398](https://attack.mitre.org/detectionstrategies/DET0507#AN1398)*