# AN0101 — Analytic 0101 ## Descrição Detecta processos de sistema não interativos realizando conexões HTTPS criptografadas para serviços web conhecidos (GitHub, Dropbox, Pastebin), seguidas de alto volume de tráfego de saída ou padrões de upload automatizados em Linux. A telemetria inclui logs do auditd para monitorar chamadas de sistema de rede (connect, sendto), netflow para correlacionar volume de tráfego, e linhagem de processo para identificar daemons de sistema com comportamento de rede inesperado. Este analítico detecta implantes que utilizam serviços legítimos como canal de C2 para evadir proxies corporativos que permitem tráfego para plataformas confiáveis. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1102-web-service|T1102 — Web Service]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] --- *Fonte: [MITRE ATT&CK — AN0101](https://attack.mitre.org/detectionstrategies/DET0035#AN0101)*