# AN1433 — Analytic 1433 ## Descrição Detecta manipulação não autorizada do comportamento do .NET AppDomainManager, monitorando criação suspeita de novos AppDomains em processos confiáveis, carregamento anômalo de assemblies via arquivos de configuração não padrão, ou alterações em variáveis de ambiente e no registro que redirecionam o AppDomainManager para assemblies maliciosos. A telemetria inclui eventos de criação de processos .NET (w3wp.exe, powershell.exe), modificações de arquivos de configuração e carregamentos de DLLs não assinadas. Essa técnica é utilizada por adversários para obter execução de código no contexto de aplicações .NET legítimas, dificultando a detecção. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1112-modify-registry|T1112 — Modify Registry]] --- *Fonte: [MITRE ATT&CK — AN1433](https://attack.mitre.org/detectionstrategies/DET0517#AN1433)*