# AN0003 — Analytic 0003 ## Descrição Detecta ferramentas CLI (ex: mosquitto_pub, nc, scripts Python) interagindo com brokers pub/sub usando nomes de tópicos incomuns, taxas de públicação anormalmente altas ou payloads ofuscados enviados para hosts não padrão. A telemetria abrange logs de execução de processos, inspeção de tráfego de rede em camada de aplicação e análise de linha de comando para identificar padrões de beaconing ou exfiltração encoberta. Este analítico é importante para ambientes Linux onde adversários exploram infraestrutura de mensageria IoT ou cloud para criar canais C2 furtivos. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] --- *Fonte: [MITRE ATT&CK — AN0003](https://attack.mitre.org/detectionstrategies/DET0002#AN0003)*