# AN0145 — Analytic 0145 ## Descrição Identifica processos customizados ou nunca vistos anteriormente em userland Linux que iniciam conexões HTTP de alto volume com baixo volume de resposta, padrão sugestivo de exfiltração de dados unidirecional. A telemetria inclui logs do auditd para rastrear chamadas de sistema de rede (connect, sendto, write), netflow para correlacionar volume de dados enviados versus recebidos, e análise de processo baseada em anomalia para identificar binários sem histórico de atividade de rede. Este analítico detecta exfiltração via HTTP em sistemas Linux comprometidos, onde implantes customizados ou ferramentas como rclone são usados para enviar grandes volumes de dados para serviços de armazenamento em nuvem ou servidores do atacante. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1537-transfer-data-to-cloud-account|T1537 — Transfer Data to Cloud Account]] --- *Fonte: [MITRE ATT&CK — AN0145](https://attack.mitre.org/detectionstrategies/DET0053#AN0145)*