# AN0081 — Analytic 0081 ## Descrição Detecta processos iniciados por usuário que geram tráfego de saída sustentado em portas comuns ou não padronizadas, frequentemente fora do horário comercial, potencialmente associados a varredura de rede ou proxyjacking. A telemetria utilizada inclui logs de conexões de rede (netflow), auditd para rastrear execuções de processo, e correlação com ferramentas como curl, wget, masscan ou clientes proxy. Este analítico é crítico para identificar abuso de recursos de computação em nuvem ou endpoints comprometidos utilizados como nós de proxy em redes de botnet. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1583-acquire-infrastructure|T1583 — Acquire Infrastructure]] - [[t1496-resource-hijacking|T1496 — Resource Hijacking]] --- *Fonte: [MITRE ATT&CK — AN0081](https://attack.mitre.org/detectionstrategies/DET0028#AN0081)*