# AN0205 — Analytic 0205 ## Descrição Detecta uso de `socat`, `ssh`, `iptables` ou `ncat` invocados do espaço de usuário ou jobs cron para criar encaminhamento de porta, shells reversos ou túneis inter-host entre sistemas Linux comprometidos, tipicamente combinado com atividade de socket e tráfego de alta entropia. A telemetria inclui auditd para execuções dessas ferramentas com análise de argumentos de linha de comando identificando padrões de tunelamento, Zeek/Suricata para identificar tunnels TCP sobre portas incomuns e análise de entropia de tráfego de rede para detectar dados criptografados em túneis. Essa analítica é importante em ambientes Linux corporativos onde ferramentas como SSH e socat têm usos legítimos, exigindo correlação com contexto de horário, usuário e destino para distinguir tunelamento malicioso de operações normais de administração de sistema. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1090-proxy|T1090 — Proxy]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0205](https://attack.mitre.org/detectionstrategies/DET0075#AN0205)*