# AN0075 — Analytic 0075 ## Descrição Detecta comunicação HTTP/S/WebSocket inesperada ou de alto volume originada de processos suspeitos (ex: PowerShell, rundll32) usando user agents incomuns ou imitando tráfego de navegador para domínios ou IPs incomuns, indicando canais de C2 camuflados em tráfego web legítimo. A telemetria inclui logs de proxy web, análise de headers HTTP (User-Agent, Referer, Cookie) e correlação entre processo iniciador e destinos de rede para identificar comúnicações C2 que imitam tráfego de navegador. Esse analítico detecta técnicas de C2 sobre HTTP/S usadas por frameworks como Cobalt Strike, Metasploit e implantes APT que utilizam tráfego web para evadir controles baseados em destino e inspeção de protocolo. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0075](https://attack.mitre.org/detectionstrategies/DET0027#AN0075)*