# AN0080 — Analytic 0080 ## Descrição Detecta processos que invocam processos filhos com uso intensivo de rede ou que enviam grandes volumes de dados, frequentemente em contextos incomuns de usuário ou sistema, com evidência de sessões TCP/UDP de longa duração para destinos incomuns, indicando exfiltração de dados de grande escala ou canal de C2 de alta largura de banda. A telemetria inclui dados de fluxo de rede (NetFlow, Zeek), logs de processo com correlação de processo pai-filho e análise de duração e volume de sessão para identificar transferências de dados anômalas. Esse analítico detecta a fase de exfiltração em ataques de espionagem e ransomware com dupla extorsão, onde grandes volumes de dados corporativos são transferidos para infraestrutura controlada pelo adversário antes ou durante o ataque destrutivo. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1030-data-transfer-size-limits|T1030 — Data Transfer Size Limits]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] --- *Fonte: [MITRE ATT&CK — AN0080](https://attack.mitre.org/detectionstrategies/DET0028#AN0080)*