# AN1366 — Analytic 1366 ## Descrição Detecta a cadeia comportamental de ferramentas de acesso remoto (RAT): execução inicial de agente de controle remoto ou GUI sob contexto de usuário, persistência via serviço ou autorun, conexão de longa duração a infraestrutura externa e sinais de controle interativo como processos shell ou file-manager spawned pelo processo pai do RAT. Utiliza telemetria de criação de processos (Sysmon Event ID 1), conexões de rede (Event ID 3) e chaves de registro de persistência para correlacionar toda a cadeia de ataque. Identificar essa sequência completa permite resposta antes que o adversário estabeleça controle total sobre o endpoint comprometido. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1219-remote-access-tools|T1219 — Remote Access Software]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1366](https://attack.mitre.org/detectionstrategies/DET0496#AN1366)*