# AN1399 — Analytic 1399 ## Descrição Detecta injeção de processo no Windows correlacionando chamadas de API de manipulação de memória (como VirtualAllocEx e WriteProcessMemory), criação suspeita de threads remotas via CreateRemoteThread e carregamentos anômalos de DLL dentro do contexto de outro processo. A telemetria é baseada em eventos de chamadas de sistema capturados por ferramentas como Sysmon (EventIDs 8, 10) e auditoria de acesso a handles de processo. Essa detecção é fundamental para identificar frameworks de ataque como Cobalt Strike, Metasploit e outros que utilizam injeção de processo como técnica central de evasão de defesas e execução de código. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1055-process-injection|T1055 — Process Injection]] - [[t1055-001-dll-injection|T1055.001 — DLL Injection]] - [[t1055-002-portable-executable-injection|T1055.002 — Portable Executable Injection]] - [[t1134-access-token-manipulation|T1134 — Access Token Manipulation]] --- *Fonte: [MITRE ATT&CK — AN1399](https://attack.mitre.org/detectionstrategies/DET0508#AN1399)*