det0327-multi-event-detection-strategy-for-rdp-based-remote-logins-and-post-acce

# DET0327 — Multi-event Detection Strategy for RDP-Based Remote Logins and Post-Access Activity ## Descrição Esta estratégia multi-evento detecta logins RDP suspeitos correlacionados com atividade pós-acesso maliciosa. A técnica [[t1021-001-remote-desktop-protocol]] é um dos vetores mais explorados por grupos de ransomware e operadores de acesso inicial para movimento lateral em ambientes Windows. A estratégia vai além da detecção do login em si, correlacionando o acesso com ações subsequentes típicas de adversários. A correlação inclui: login RDP de IP externo ou não-corporativo → execução de ferramentas de reconhecimento → acesso a compartilhamentos de rede → execução de scripts → download de ferramentas. O Event ID 4624 (logon tipo 10) combinado com criação de processos filhos suspeitos a partir do processo `rdpclip.exe` ou `mstscax.dll` é um sinal forte. Em ambientes LATAM, RDP exposto à internet continua sendo o principal vetor de acesso inicial de ransomware. O monitoramento de logins RDP seguidos de execução de `net.exe`, `whoami`, `ipconfig` e ferramentas de AD enumeration na mesma sessão é altamente indicativo de comprometimento. ## Indicadores de Detecção - Login RDP (Event ID 4624, tipo 10) seguido de execução de ferramentas de reconhecimento em <5 min - Sessão RDP originada de IP em país diferente do padrão do usuário - Login RDP fora do horário comercial seguido de acesso a múltiplos compartilhamentos de rede - `mstscax.dll` gerando processos filhos (cmd.exe, powershell.exe) com flags suspeitos - Sequência: login RDP → `whoami` → `net user` → `net group "Domain Admins"` - Download de ferramentas de terceiros (rclone, AnyDesk, ngrok) via sessão RDP ## Técnicas Relacionadas - [[t1021-001-remote-desktop-protocol]] — técnica primária - [[t1021-remote-services|T1021-remote-services]] — categoria pai de serviços remotos - [[t1078-valid-accounts|T1078-valid-accounts]] — credenciais usadas para login RDP - [[t1087-account-discovery|T1087-account-discovery]] — descoberta de contas após acesso RDP - [[t1570-lateral-tool-transfer|T1570-lateral-tool-transfer]] — transferência de ferramentas via sessão RDP ## Analytics Relacionadas - [[an0931-analytic-0931|AN0931 — Analytic 0931]] --- *Fonte: [MITRE ATT&CK — DET0327](https://attack.mitre.org/detectionstrategies/DET0327)*