# AN0159 — Analytic 0159 ## Descrição Detecta processos ou scripts que acessam serviços web comuns para recuperar conteúdo contendo indicadores ofuscados de um servidor C2 secundário — comportamento conhecido como "dead drop resolver". A telemetria utilizada inclui logs de conexões de rede, eventos de criação de processos e inspeção de conteúdo HTTP/HTTPS recuperado por binários não-browser. Esse padrão é crítico para identificar técnicas de evasão de C2 utilizadas por atores avançados que evitam infraestrutura dedicada exposta. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1102-web-service|T1102 — Web Service]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN0159](https://attack.mitre.org/detectionstrategies/DET0058#AN0159)*