# AN0002 — Analytic 0002 ## Descrição Detecta processos não padrão (ex: PowerShell, python.exe, rundll32.exe) que realizam conexões de saída usando protocolos publish/subscribe (ex: MQTT, AMQP) em canais criptografados não relacionados a navegadores, frequentemente fazendo beaconing para brokers de mensagens. A telemetria principal inclui logs de conexões de rede, inspeção de cabeçalhos de protocolo e eventos de criação de processos correlacionados com destinos incomuns. Este analítico é relevante para detectar canais de C2 encobertos que utilizam infraestrutura de mensageria legítima para evitar detecção baseada em assinatura. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1095-non-application-layer-protocol|T1095 — Non-Application Layer Protocol]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] --- *Fonte: [MITRE ATT&CK — AN0002](https://attack.mitre.org/detectionstrategies/DET0002#AN0002)*