# AN1419 — Analytic 1419 ## Descrição Detecta tentativas de exploração direcionadas a drivers de kernel vulneráveis ou componentes do sistema operacional Windows, frequentemente seguidas de comportamento anômalo de processos ou manipulação de tokens de segurança indicando elevação de privilégio. A telemetria inclui eventos de carregamento de drivers não assinados ou vulneráveis conhecidos, chamadas de sistema kernel anômalas detectadas por EDR e eventos de integridade de processos que indicam modificação de privilégios. Essa detecção é crítica para identificar técnicas BYOVD (Bring Your Own Vulnerable Driver) utilizadas por grupos APT e operadores de ransomware para desabilitar soluções de segurança e escalar privilégios até SYSTEM. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] - [[t1014-rootkit|T1014 — Rootkit]] - [[t1134-access-token-manipulation|T1134 — Access Token Manipulation]] - [[t1562-001-disable-or-modify-tools|T1562.001 — Disable or Modify Tools]] --- *Fonte: [MITRE ATT&CK — AN1419](https://attack.mitre.org/detectionstrategies/DET0514#AN1419)*