# AN0345 — Analytic 0345 ## Descrição Detecta processo que invoca codificadores padrão (PowerShell -enc, certutil -encode, Base64 via .NET/Invoke-Expression) ou emite literais longos de Base64/hex, seguido rapidamente de egresso de rede com alta proporção bytes_out:bytes_in ou payloads HTTP contendo blocos Base64/MIME. A telemetria inclui eventos de criação de processos, argumentos de linha de comando, logs de firewall e análise de tráfego de rede. Essa analítica é crítica para detectar exfiltração codificada que busca contornar inspeção de conteúdo e DLP, técnica amplamente usada por RATs e implantes de espionagem. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0345](https://attack.mitre.org/detectionstrategies/DET0124#AN0345)*