# AN0218 — Analytic 0218 ## Descrição Detecta sequestro de sessões VNC ou SSH no macOS onde adversários assumem uma sessão existente em vez de autenticar diretamente, com indicadores incluindo execução de processo a partir de sessões ativas sem novos eventos de logon, manipulação de sessões TTY ou atividade de rede anômala vinculada a sessões dormentes. A telemetria inclui Unified Logs de eventos de autenticação VNC/SSH, análise de processos executados em sessões existentes sem novo evento de login via Security Framework e monitoramento de conexões de rede inesperadas a partir de sessões identificadas como inativas. Essa analítica é relevante em ambientes macOS corporativos onde VNC é comumente utilizado para suporte remoto, e sessões não encerradas adequadamente podem ser exploradas por adversários com acesso local ou de rede para emitir comandos autenticados sem precisar de credenciais. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1563-remote-service-session-hijacking|T1563 — Remote Service Session Hijacking]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0218](https://attack.mitre.org/detectionstrategies/DET0079#AN0218)*