# AN0505 — Analytic 0505 ## Descrição Este analítico detecta o spawn de processos relacionados ao VNC no Linux (como `x11vnc` ou `vncserver`) acoplado a logs de autenticação e comportamento de escuta em TCP 5900. A telemetria inclui eventos auditd de criação de processos, logs `/var/log/auth.log` para sessões VNC, dados de captura de rede via Zeek ou tcpdump, e alertas de netstat/ss mostrando novas portas em escuta. Detectar VNC não autorizado no Linux é importante pois servidores Linux são alvos frequentes de ataques que buscam estabelecer acesso remoto persistente e interativo fora dos canais SSH monitorados. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1021-remote-services|T1021 — Remote Services]] - [[t1563-remote-service-session-hijacking|T1563 — Remote Service Session Hijacking]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN0505](https://attack.mitre.org/detectionstrategies/DET0178#AN0505)*