det0178-behavioral-detection-of-unauthorized-vnc-remote-control-sessions

# DET0178 — Behavioral Detection of Unauthorized VNC Remote Control Sessions ## Descrição Esta estratégia detecta sessões VNC não autorizadas usadas por adversários para controle remoto visual de sistemas comprometidos — mapeado em [[t1021-005-vnc|T1021.005 - VNC]]. Além do VNC instalado intencionalmente, adversários frequentemente instalam VNC servers silenciosos (TightVNC, UltraVNC, TigerVNC) como backdoors persistentes ou utilizam capacidades VNC embutidas em RATs para operar interativamente. Os indicadores incluem instalação ou execução de servidores VNC (`vncserver`, `winvnc4.exe`, `tvnserver.exe`) por processos não-sistema, conexões de entrada na porta 5900/TCP de IPs externos, processos VNC executando sem entrada no inventário de software aprovado, e VNC configurado com autenticação fraca ou desabilitada. Sysmon (Process Create, Network Connect), Windows Event Log (instalação de serviço) e logs de firewall são as fontes primárias. A detecção behavioral foca em uso pós-instalação: sessão VNC ativa + operações de arquivo/processo incomuns subsequentes (ex: download de ferramentas, criação de contas) é cadeia de alta confiança. Correlacionar com geolocalização do IP de conexão VNC contra baseline de administradores conhecidos aumenta a precisão. ## Indicadores de Detecção - Processo VNC server (`winvnc4.exe`, `tvnserver.exe`, `vncserver`) iniciado por processo pai incomum - Conexão TCP de entrada na porta 5900 ou range 5900-5910 de IP externo ao ambiente - Serviço VNC registrado no sistema sem correspondência no inventário de software aprovado - VNC configurado com senha padrão ou vazia (detectável via análise de configuração) - Sequência: download de binário VNC → execução → conexão remota de entrada < 5 minutos ## Técnicas Relacionadas - [[t1021-005-vnc|T1021.005 - VNC]] — técnica principal detectada - [[t1021-remote-services|T1021 - Remote Services]] — categoria pai - [[T1219 - Remote Access Software]] — ferramentas de acesso remoto em geral - [[t1059-command-and-scripting-interpreter]] — ações realizadas via sessão VNC ## Analytics Relacionadas - [[an0504-analytic-0504|AN0504 — Analytic 0504]] - [[an0505-analytic-0505|AN0505 — Analytic 0505]] - [[an0506-analytic-0506|AN0506 — Analytic 0506]] --- *Fonte: [MITRE ATT&CK — DET0178](https://attack.mitre.org/detectionstrategies/DET0178)*