# AN0346 — Analytic 0346 ## Descrição Detecta shell ou utilitários Linux (base64, xxd, openssl enc, bibliotecas Python/Perl) codificando dados seguidos de conexões de saída via curl, wget, bash TCP ou socat com alta assimetria no tráfego ou blobs Base64/MIME em payloads HTTP/DNS. A telemetria inclui auditoria de execução de comandos, análise de argumentos de linha de comando e inspeção de tráfego de rede com detecção de entropia. Essa analítica é fundamental para identificar exfiltração de dados em ambientes Linux onde ferramentas nativas de codificação são frequentemente abusadas por adversários para disfarçar transferências maliciosas. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN0346](https://attack.mitre.org/detectionstrategies/DET0124#AN0346)*