# AN0100 — Analytic 0100 ## Descrição Detecta processos suspeitos iniciando conexões HTTPS criptografadas para domínios de serviços web comuns (GitHub, Pastebin, OneDrive, Dropbox), seguidas de comportamento anômalo de upload ou postagem automatizada indicativo de tráfego bidirecional de C2. A telemetria inclui logs de proxy/firewall com inspeção SSL, dados de fluxo de rede do Sysmon (Event ID 3), e correlação com comportamento de processo como criação de arquivos temporários ou chamadas de API de rede não típicas para o processo. Este analítico é importante para identificar técnicas de C2 via serviços legítimos (Living Off the Land), que contornam controles de filtragem de domínio tradicionais ao utilizar infraestrutura confiável. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1102-web-service|T1102 — Web Service]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] --- *Fonte: [MITRE ATT&CK — AN0100](https://attack.mitre.org/detectionstrategies/DET0035#AN0100)*