# AN0504 — Analytic 0504 ## Descrição Este analítico detecta o início inesperado de serviço ou executável VNC no Windows, seguido pela criação de sessão de usuário e atividade interativa no desktop (simulação de mouse/teclado). A telemetria inclui logs de instalação/início de serviços Windows (Event ID 7045, 4697), eventos de criação de sessão remota, monitoramento de processos relacionados a VNC e captura de tráfego de rede na porta TCP 5900. Identificar atividade VNC não autorizada é crítico pois permite controle remoto interativo e furtivo do endpoint, frequentemente usado por adversários para realizar ações hands-on-keyboard após o comprometimento inicial. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1021-remote-services|T1021 — Remote Services]] - [[t1563-remote-service-session-hijacking|T1563 — Remote Service Session Hijacking]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0504](https://attack.mitre.org/detectionstrategies/DET0178#AN0504)*