# AN0368 — Analytic 0368 ## Descrição Detecta exfiltração de arquivos via ferramentas como `curl`, `scp` ou binários customizados sobre protocolos FTP, HTTP/S ou tunelamento DNS, especialmente quando fora do comportamento baseline do usuário. A telemetria inclui auditoria de execução de comandos, análise de argumentos de `curl`/`scp`, registros de conexões de rede e detecção de padrões de DNS anômalos (alta frequência de queries ou nomes de domínio codificados). Essa analítica é importante para a detecção de exfiltração em servidores Linux onde `curl` e `scp` são ferramentas legítimas mas frequentemente abusadas por adversários para transferir dados coletados para infraestrutura de comando e controle. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1071-application-layer-protocol|T1568 — Dynamic Resolution]] --- *Fonte: [MITRE ATT&CK — AN0368](https://attack.mitre.org/detectionstrategies/DET0131#AN0368)*