# AN0076 — Analytic 0076 ## Descrição Detecta curl, wget, requests Python ou clientes HTTP personalizados comúnicando-se em portas não padrão, com padrões repetitivos ou beacon-like, ou comportamento POST-pesado para domínios raros, indicando uso de ferramentas de linha de comando para comunicação C2 camuflada como tráfego web legítimo. A telemetria inclui auditd com monitoramento de execução de curl/wget, análise de conexões de rede de saída com foco em padrões de temporização e destinos incomuns, e análise de headers HTTP via proxy ou DPI. Esse analítico é relevante para servidores Linux e workstations onde implantes frequentemente utilizam ferramentas nativas como curl para C2 de baixo perfil, evitando instalação de binários adicionais. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0076](https://attack.mitre.org/detectionstrategies/DET0027#AN0076)*