# AN0204 — Analytic 0204 ## Descrição Detecta processos anômalos no Windows como `rundll32`, `svchost` ou `cmd` iniciando conexões para hosts internos não vistos em linhas de base de comunicação típicas, utilizados para proxificar ou encaminhar tráfego internamente via SMB, RPC ou portas altas, padrão associado a movimentação lateral e pivotamento de rede. A telemetria inclui eventos Sysmon de conexão de rede (EventID 3) correlacionados com processos que normalmente não iniciam conexões de rede, análise de fluxo de rede (NetFlow/Zeek) para identificar padrões de comunicação peer-to-peer incomuns e eventos de autenticação NTLM/Kerberos para conexões laterais. Essa analítica é fundamental para detectar movimentação lateral em ambientes Windows onde adversários utilizam binários legítimos do sistema como proxies de rede para contornar controles de segmentação e mover payloads ou estabelecer canais de comunicação entre sistemas comprometidos. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1021-remote-services|T1021 — Remote Services]] - [[t1090-proxy|T1090 — Proxy]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] --- *Fonte: [MITRE ATT&CK — AN0204](https://attack.mitre.org/detectionstrategies/DET0075#AN0204)*