# DET0259 — Remote Desktop Software Execution and Beaconing Detection ## Descrição Detecta execução não autorizada de softwares de acesso remoto e seu comportamento de beaconing para infraestrutura de controle. Ferramentas como AnyDesk, TeamViewer, ScreenConnect, Splashtop e Zoho Assist são frequentemente abusadas por adversários para manter acesso persistente após comprometimento inicial, aproveitando que tráfego de suporte remoto raramente é bloqueado por firewalls corporativos. Os indicadores incluem execução de software de acesso remoto em contextos não esperados (servidores de produção, workstations de desenvolvimento), comunicação de beaconing para infraestrutura cloud conhecida desses fornecedores com intervalos regulares, e instalação como serviço para garantir persistência após reinicialização. Ferramentas legítimas de RMM utilizadas por MSPs também são alvos de abuso. A telemetria necessária abrange inventário de processos em execução comparado com baseline de software aprovado, análise de network flows para domínios e IPs de infraestrutura de acesso remoto conhecidos, eventos de instalação de serviço Windows (Event ID 7045) e DNS queries para domínios de serviços de relay de acesso remoto. ## Indicadores de Detecção - Execução de `anydesk.exe`, `teamviewer.exe`, `screenconnect.exe` em servidor de produção sem aprovação - Serviço Windows criado com ImagePath apontando para software de acesso remoto - DNS query periódica (beaconing) para `relay.anydesk.com`, `teamviewer.com` ou equivalentes - Network connection persistente com intervalo regular (ex: keepalive a cada 30s) para IP de relay - Software de acesso remoto executado por conta de serviço ou com SYSTEM privileges - Download e execução imediata de instalador de ferramenta RMM seguidos de conexão de saída ## Técnicas Relacionadas - [[t1219-remote-access-tools|T1219 — Remote Access Software]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1566-phishing|T1566 — Phishing]] ## Analytics Relacionadas - [[an0714-analytic-0714|AN0714 — Analytic 0714]] - [[an0715-analytic-0715|AN0715 — Analytic 0715]] - [[an0716-analytic-0716|AN0716 — Analytic 0716]] --- *Fonte: [MITRE ATT&CK — DET0259](https://attack.mitre.org/detectionstrategies/DET0259)*