# AN0715 — Analytic 0715 ## Descrição Detecta execução de daemons VNC/desktop remoto conhecidos ou customizados ou agentes de tunelamento que iniciam comunicação externa após o lançamento em sistemas Linux. A telemetria inclui auditd, logs de processo e registros de conexão de rede que identificam processos de servidor VNC, x11vnc ou ferramentas de tunelamento como `frp` ou `chisel` estabelecendo conexões de saída para IPs externos após instalação ou execução inesperada. Essa analítica é relevante para detectar estabelecimento de acesso remoto persistente em servidores Linux onde adversários configuram daemons VNC ou túneis reversos para manter acesso interativo encoberto, frequentemente usado em fases de pós-exploração de ataques a infraestrutura crítica. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1219-remote-access-tools|T1219 — Remote Access Software]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0715](https://attack.mitre.org/detectionstrategies/DET0259#AN0715)*