# AN0079 — Analytic 0079 ## Descrição Detecta uso indevido do protocolo Web como headers HTTP codificados, requisições de upgrade WebSocket com payloads anormais ou anomalias no handshake TLS que sugerem canais de C2 embarcados, indicando tráfego de comando e controle camuflado em protocolos web legítimos. A telemetria inclui inspeção profunda de pacotes (DPI) em dispositivos de rede, análise de anomalias de TLS (JA3/JA3S fingerprinting) e correlação de padrões de tráfego WebSocket ou HTTP/2 com comportamentos de beaconing. Esse analítico é valioso para detecção em perímetro de rede onde frameworks de C2 modernos como Cobalt Strike e BruteRatel utilizam perfis de comunicação que imitam tráfego web legítimo para evadir inspeção de segurança. **Plataformas:** Network Devices --- ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1095-non-application-layer-protocol|T1095 — Non-Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN0079](https://attack.mitre.org/detectionstrategies/DET0027#AN0079)*