# AN0303 — Analytic 0303 ## Descrição Esta analítica detecta scripts ou processos que codificam tráfego de saída usando gzip, Base64 ou hex antes da exfiltração via `curl`, `wget` ou sockets customizados, onde a codificação ocorre tipicamente antes ou durante conexões de saída a partir de processos não-daemon de rede. A telemetria inclui logs de execução de processo com argumentos de codificação, análise de payload de rede e eventos de conexão TCP gerados por processos não pertencentes a serviços de rede legítimos. A detecção é relevante pois a codificação de dados antes da exfiltração via ferramentas nativas é técnica de living-off-the-land amplamente usada em comprometimentos de servidores Linux. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1132-data-encoding|T1132 — Data Encoding]] - [[t1132-001-standard-encoding|T1132.001 — Standard Encoding]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] --- *Fonte: [MITRE ATT&CK — AN0303](https://attack.mitre.org/detectionstrategies/DET0108#AN0303)*