# AN0714 — Analytic 0714 ## Descrição Detecta instalação ou uso de software RMM — como TeamViewer, AnyDesk e ScreenConnect — seguido de beaconing de saída ou estabelecimento de sessão remota em contextos não esperados de suporte de TI. A telemetria inclui Sysmon (Event ID 1, 3), Windows Security Event Log e logs de rede que identificam processos RMM instalados recentemente ou lançados por processos pai incomuns, seguidos de conexões persistentes para relays de serviço de acesso remoto. Essa analítica é crítica para detectar abuso de ferramentas RMM legítimas, uma técnica documentada em campanhas do grupo BazaLoader, Conti e ataques de vishing onde adversários usam software de suporte remoto como backdoor de acesso inicial que contorna controles de AV por ser assinado digitalmente. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1219-remote-access-tools|T1219 — Remote Access Software]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1566-phishing|T1566 — Phishing]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0714](https://attack.mitre.org/detectionstrategies/DET0259#AN0714)*