# AN0217 — Analytic 0217 ## Descrição Detecta sequestro de sessão SSH/Telnet via discrepâncias entre logs de autenticação e tabelas de sessão ativas, com comportamento adversarial incluindo reutilização ou roubo de sessões PTY ativas, anexação a sessões screen/tmux ou emissão de comandos sem eventos de login correspondentes. A telemetria inclui logs de autenticação SSH (`/var/log/auth.log`) correlacionados com processos `sshd` ativos e terminais PTY, análise de execuções de comandos sem login precedente no mesmo terminal via auditd e monitoramento de uso de screen/tmux por usuários não esperados. Essa analítica é relevante para detectar sequestro de sessão em servidores Linux de produção onde sessões SSH de longa duração (ex.: sessions screen/tmux de administradores) podem ser assumidas por adversários que obtêm acesso root, permitindo comandos com as credenciais do usuário legítimo sem deixar rastros de autenticação. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1563-remote-service-session-hijacking|T1563 — Remote Service Session Hijacking]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1055-process-injection|T1055 — Process Injection]] --- *Fonte: [MITRE ATT&CK — AN0217](https://attack.mitre.org/detectionstrategies/DET0079#AN0217)*