# AN0213 — Analytic 0213 ## Descrição Detecta no Linux o uso de `rfkill`, `nmcli` ou ferramentas de baixo nível (ex.: `iw`, `hcitool`, `pppd`) para ativar interfaces alternativas seguido de transferência de dados via NICs não primárias, indicando exfiltração via canal de rede alternativo. A telemetria inclui auditd para execuções dessas ferramentas de gerenciamento de interface de rede, análise de criação de interface de rede pelo kernel (eventos netlink) e monitoramento de tráfego em interfaces normalmente inativas via tcpdump/Zeek. Essa analítica é relevante em servidores Linux com múltiplos adaptadores de rede ou capacidades WiFi/Bluetooth onde adversários podem ativar interfaces desabilitadas para estabelecer canais de comunicação que contornam monitoramento de rede corporativo focado na interface principal. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1011-exfiltration-over-other-network-medium|T1011 — Exfiltration Over Other Network Medium]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN0213](https://attack.mitre.org/detectionstrategies/DET0077#AN0213)*