# AN0031 — Analytic 0031 ## Descrição Detecta tráfego de saída com tamanhos de payload anômalos e padrões atípicos originados de processos sem função de rede, observado via inspeção de pacotes ou logs de conexão, indicando possível exfiltração encoberta ou canal de C2 disfarçado. A telemetria inclui dados de captura de pacotes (pcap), logs de conexão do sistema (netstat, ss), auditd com monitoramento de syscalls de socket e análise de anomalias de tráfego em nível de processo. Esse analítico é importante em ambientes Linux para identificar processos de backend ou daemons que foram comprometidos e estão sendo usados para exfiltrar dados fora de canais esperados. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1095-non-application-layer-protocol|T1095 — Non-Application Layer Protocol]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] --- *Fonte: [MITRE ATT&CK — AN0031](https://attack.mitre.org/detectionstrategies/DET0011#AN0031)*