# AN1620 — Analytic 1620 ## Descrição Esta analítica detecta uso suspeito de `tscon.exe` ou métodos equivalentes para sequestrar sessões RDP legítimas, observável por anomalias como reatribuições de sessão sem autenticação correspondente, processos iniciados no contexto de sessões hijackadas ou fluxos de tráfego RDP que desviam do baseline esperado. A telemetria inclui logs de eventos de sessão Terminal Services (Event IDs 4778, 4779), monitoramento de criação de processos com `tscon.exe` invocado por usuários não administrativos e análise de tráfego de rede RDP (porta 3389) para padrões de transferência de sessão sem credenciais. Esta detecção é crítica porque o sequestro de sessão RDP permite ao adversário assumir sessões ativas de usuários privilegiados sem necessidade de credenciais adicionais. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1563-remote-service-session-hijacking|T1563 — Remote Service Session Hijacking]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] --- *Fonte: [MITRE ATT&CK — AN1620](https://attack.mitre.org/detectionstrategies/DET0588#AN1620)*