# AN0158 — Analytic 0158 ## Descrição Detecta um processo ou script no Windows que acessa um serviço web comum (Pastebin, GitHub Gist, Twitter, OneDrive) para recuperar conteúdo contendo indicadores ofuscados de um servidor C2 secundário, técnica conhecida como "dead drop resolver". A telemetria inclui logs de proxy/firewall com inspeção de conteúdo para identificar recuperação de dados estruturados ou codificados de plataformas de conteúdo compartilhado, Sysmon (Event ID 3 para conexões de rede) correlacionado com análise do processo solicitante, e correlação com atividade de conexão C2 subsequente para o endereço resolvido. Este analítico detecta implantes que utilizam serviços legítimos como repositório para endereços C2, permitindo ao operador atualizar a infraestrutura de comando sem recompilar o malware. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1102-web-service|T1102 — Web Service]] - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN0158](https://attack.mitre.org/detectionstrategies/DET0058#AN0158)*