# AN0216 — Analytic 0216 ## Descrição Detecta atividade anômala de sessão RDP ou serviço remoto onde uma sessão de logon é sequestrada em vez de criada, com indicadores incluindo credenciais de usuário incompatíveis vs. tokens de sessão ativos, assumo de sessões de serviço sem eventos de logon bem-sucedido correspondentes ou atividade de shadowing RDP sem consentimento do usuário. A telemetria inclui Security Event Log do Windows (EID 4648, 4624, 4778/4779 para reconexão/desconexão de sessão), análise de discrepâncias entre sessões ativas do Terminal Services e tokens de autenticação e alertas para uso da ferramenta `tscon.exe` ou comandos de sessão RDP sem autenticação prévia. Essa analítica detecta técnicas avançadas de sequestro de sessão onde adversários com privilégios SYSTEM podem assumir sessões RDP ativas de outros usuários sem conhecer suas credenciais, técnica documentada em ataques de pós-exploração de grupos APT em ambientes Windows. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1563-remote-service-session-hijacking|T1563 — Remote Service Session Hijacking]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1134-access-token-manipulation|T1134 — Access Token Manipulation]] --- *Fonte: [MITRE ATT&CK — AN0216](https://attack.mitre.org/detectionstrategies/DET0079#AN0216)*