# AN0212 — Analytic 0212 ## Descrição Detecta transferência de arquivo ou atividade de acesso à rede por meio de interfaces não primárias (ex.: WiFi, Bluetooth, celular) por processos que normalmente não se associam a esse comportamento (ex.: rundll32, powershell, regsvr32), padrão indicativo de exfiltração via canal alternativo para contornar controles de segmentação de rede. A telemetria inclui eventos de interface de rede do Windows (Network Connection events) correlacionados com processos que estabelecem conexões via adaptadores não principais, análise de tráfego de rede por interface para identificar fluxos em interfaces normalmente inativas e alertas DHCP para novos leases em interfaces secundárias. Essa analítica detecta técnicas de exfiltração via canais alternativos onde adversários evitam a interface de rede corporativa monitorada para transmitir dados coletados, especialmente relevante em endpoints com múltiplos adaptadores de rede ou capacidades de conectividade móvel. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1011-exfiltration-over-other-network-medium|T1011 — Exfiltration Over Other Network Medium]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN0212](https://attack.mitre.org/detectionstrategies/DET0077#AN0212)*