# AN0133 — Analytic 0133 ## Descrição Detecta tentativas de limpar histórico RDP/rede e modificar artefatos de configuração de rede via execução de comando, exclusão de chaves de registro, alterações de regras de firewall e exclusões de arquivos suspeitas, como Default.rdp ou edições das chaves de registro Terminal Server Client. A telemetria inclui Windows Event Log (Event ID 4657 para modificação de registro, 5156 para regras de firewall), logs do Sysmon para exclusão de arquivo (Event ID 23) e comandos de limpeza, e correlação com sessões de acesso remoto recentes. Este analítico detecta a fase de anti-forensics de um atacante que busca remover evidências de conexões RDP utilizadas para movimentação lateral antes de encerrar o acesso. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1112-modify-registry|T1112 — Modify Registry]] --- *Fonte: [MITRE ATT&CK — AN0133](https://attack.mitre.org/detectionstrategies/DET0049#AN0133)*