# AN0506 — Analytic 0506 ## Descrição Este analítico detecta controle remoto baseado em VNC no macOS através de atividade do processo `screensharingd` nos Unified Logs, correlacionada com atividade de login remoto simultânea ou interação de usuário suspeita. A telemetria inclui Unified Logs filtrando por subsistema `com.apple.screensharing`, eventos de login remoto em `/var/log/system.log`, tráfego de rede para TCP 5900 e eventos de sessão de usuário via `last` e `wtmp`. Essa detecção é relevante para identificar abuso do compartilhamento de tela nativo do macOS, que pode ser habilitado silenciosamente por adversários com acesso administrativo para estabelecer controle remoto persistente. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1021-remote-services|T1021 — Remote Services]] - [[t1563-remote-service-session-hijacking|T1563 — Remote Service Session Hijacking]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN0506](https://attack.mitre.org/detectionstrategies/DET0178#AN0506)*