det0079-detection-of-remote-service-session-hijacking

# DET0079 — Detection of Remote Service Session Hijacking ## Descrição O sequestro de sessão de serviços remotos (T1563) envolve a tomada de controle de sessões RDP ou SSH já estabelecidas por usuários legítimos, sem necessidade de conhecer a senha da conta. No Windows, a técnica mais comum é o sequestro de sessão RDP via `tscon.exe` com privilégios de SYSTEM — permitindo que um atacante conecte-se a uma sessão RDP desconectada de outro usuário e acesse seu ambiente de trabalho sem autenticação adicional. Em Linux, o sequestro de sessão SSH pode ser realizado via `tmux` ou `screen` compartilhados. Esta estratégia de detecção monitora o uso de `tscon.exe` por processos diferentes do serviço de terminal legítimo, especialmente quando invocado por `cmd.exe` ou PowerShell com contexto de SYSTEM. Também cobre a criação de serviços Windows temporários para elevar privilégios ao nível SYSTEM antes de executar `tscon`, padrão documentado em ferramentas de post-exploitation. No lado SSH, o acesso a sockets de sessão existentes por UIDs diferentes do proprietário original é um indicador relevante. Adversários que comprometem sistemas Windows com múltiplos usuários ativos — como ambientes de VDI, servidores de terminal e hosts de jumpbox — utilizam essa técnica para mover-se lateralmente sem gerar novos eventos de autenticação, tornando o movimento invisível para soluções que dependem apenas de logs de autenticação. ## Indicadores de Detecção - `tscon.exe` executado por processo filho de `cmd.exe`, `powershell.exe` ou serviço temporário com contexto SYSTEM - Criação de serviço Windows temporário com `binPath` contendo `tscon` ou equivalente de sequestro de sessão - Evento 4624 (logon bem-sucedido) tipo 10 (RemoteInteractive) sem evento 4648 correspondente de credencial explícita - Sessão RDP reconectada para usuário diferente do que iniciou a sessão original (visível via `quser`) - Acesso a socket de sessão SSH (`/tmp/tmux-*/`, `/tmp/.screen*/`) por UID diferente do proprietário - `winlogon.exe` ou `rdpclip.exe` iniciados por processo pai inesperado após `tscon` ## Técnicas Relacionadas - [[t1563-remote-service-session-hijacking|T1563 — Remote Service Session Hijacking]] - [[t1563001-rdp-hijacking|T1563.001 — RDP Hijacking]] - [[t1563002-ssh-hijacking|T1563.002 — SSH Hijacking]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1021001-remote-services-remote-desktop-protocol|T1021.001 — Remote Desktop Protocol]] ## Analytics Relacionadas - [[an0216-analytic-0216|AN0216 — Analytic 0216]] - [[an0217-analytic-0217|AN0217 — Analytic 0217]] - [[an0218-analytic-0218|AN0218 — Analytic 0218]] --- *Fonte: [MITRE ATT&CK — DET0079](https://attack.mitre.org/detectionstrategies/DET0079)*