det0295-behavioral-detection-of-thread-execution-hijacking-via-thread-suspension

# DET0295 — Behavioral Detection of Thread Execution Hijacking via Thread Suspension and Context Switching ## Descrição Esta estratégia detecta thread execution hijacking, uma técnica de process injection onde adversários suspendem um thread legítimo em um processo alvo, sobrescrevem seu contexto de execução (registradores, stack pointer, instruction pointer) com endereço de shellcode malicioso, e retomam o thread para executar código no contexto do processo legítimo. Esta técnica evade detecções baseadas em criação de novo thread remoto. Os indicadores comportamentais incluem chamadas em sequência de `OpenThread` → `SuspendThread` → `GetThreadContext` → `VirtualAllocEx`/`WriteProcessMemory` → `SetThreadContext` → `ResumeThread` originadas de processo com baixa integridade ou não pertencente ao processo alvo. A anomalia de um thread cujo instruction pointer aponta para região de memória alocada dinâmicamente (sem mapeamento de módulo) é o sinal técnico mais preciso. Ferramentas de pós-exploração como [[s0154-cobalt-strike|Cobalt Strike]] (sleep mask com thread context manipulation) e [[Metasploit]] utilizam variantes desta técnica. A detecção requer instrumentação em nível de kernel via ETW ou drivers EDR, pois as chamadas de API envolvidas não são auditadas pelo Windows por padrão. ## Indicadores de Detecção - Sequência `SuspendThread` → `SetThreadContext` → `ResumeThread` em thread de processo de sistema - Thread com instruction pointer (RIP/EIP) apontando para heap ou região `MEM_PRIVATE` sem módulo associado - `OpenThread` com `THREAD_SET_CONTEXT` por processo sem relação pai-filho com o processo alvo - `GetThreadContext` chamado em thread de processo de alta integridade por processo de integridade menor - Alocação de memória executável em processo remoto seguida de mudança de contexto de thread - Thread suspenso por longo período seguido de retomada com EIP/RIP diferente do original ## Técnicas Relacionadas - [[t1055-process-injection|T1055 — Process Injection]] - [[t1134-access-token-manipulation|T1134 — Access Token Manipulation]] - [[t1620-reflective-code-loading|T1620 — Reflective Code Loading]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] ## Analytics Relacionadas - [[an0822-analytic-0822|AN0822 — Analytic 0822]] --- *Fonte: [MITRE ATT&CK — DET0295](https://attack.mitre.org/detectionstrategies/DET0295)*