# AN0302 — Analytic 0302 ## Descrição Esta analítica detecta processos atípicos (como `powershell.exe`, `regsvr32.exe`) que codificam grandes volumes de tráfego de saída em Base64 ou outras codificações de caracteres, enviando esse tráfego por portas incomuns ou embutido em campos de protocolo (como cookies ou cabeçalhos HTTP). A telemetria inclui logs de inspeção de conteúdo de proxy web, análise de entropia de payload de rede e eventos de criação de processo com argumentos de codificação. A detecção é relevante pois a codificação de tráfego C2 via Base64 em campos HTTP não convencionais é técnica de evasão usada por malwares como Dridex e campanhas de ransomware para esconder comúnicações de saída. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1132-data-encoding|T1132 — Data Encoding]] - [[t1132-001-standard-encoding|T1132.001 — Standard Encoding]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] --- *Fonte: [MITRE ATT&CK — AN0302](https://attack.mitre.org/detectionstrategies/DET0108#AN0302)*