det0269-behavioral-detection-strategy-for-remote-service-logins-and-post-access-

# DET0269 — Behavioral Detection Strategy for Remote Service Logins and Post-Access Activity ## Descrição Esta estratégia detecta logins em serviços remotos (RDP, SSH, VNC, WinRM) seguidos de atividades pós-acesso características de adversários — discovery de sistema, escalada de privilégio, ou movimento lateral. A correlação entre o evento de login remoto e o comportamento subsequente é o diferencial desta estratégia, reduzindo falsos positivos de logins legítimos. O padrão típico de ataque inclui: login RDP/SSH de IP incomum, seguido de execução de comandos de reconhecimento (`whoami`, `ipconfig`, `net user`), acesso a credenciais (SAM dump) e instalação de ferramentas adicionais. A janela de tempo entre login e atividades suspeitas é curta (< 5 minutos) em ataques automatizados. A telemetria requer correlação de eventos de logon remoto (Event ID 4624 tipo 10 para RDP) com eventos subsequentes de processo (Sysmon), logs de SSH (`/var/log/auth.log`), e análise de sequência temporal de atividades pós-login. ## Indicadores de Detecção - Login RDP (Event ID 4624 Tipo 10) de IP não pertencente a range corporativo seguido de comandos de discovery - Sessão SSH autenticada por chave não cadastrada no baseline de authorized_keys do sistema - Sequência login -> `whoami` -> `net user /domain` -> `tasklist` em menos de 2 minutos - Login remoto bem-sucedido após múltiplas falhas de autenticação de mesmo IP (brute force) - WinRM usado para execução de script PowerShell de descoberta (`Get-ADUser`, `Get-ADComputer`) em horário atípico - Novo processo de enumeração iniciado na sessão remota antes de qualquer interação de usuário legítima ## Técnicas Relacionadas - [[t1021-001-remote-desktop-protocol|T1021.001 — Remote Desktop Protocol]] - [[T1021.004-ssh|T1021.004 — SSH]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1087-account-discovery|T1087 — Account Discovery]] ## Analytics Relacionadas - [[an0750-analytic-0750|AN0750 — Analytic 0750]] - [[an0751-analytic-0751|AN0751 — Analytic 0751]] - [[an0752-analytic-0752|AN0752 — Analytic 0752]] - [[an0753-analytic-0753|AN0753 — Analytic 0753]] - [[an0754-analytic-0754|AN0754 — Analytic 0754]] --- *Fonte: [MITRE ATT&CK — DET0269](https://attack.mitre.org/detectionstrategies/DET0269)*