# AN0379 — Analytic 0379 ## Descrição Detecta uso não autorizado de SMTP/IMAP/POP3 por binários suspeitos (PowerShell, rundll32) para exfiltrar dados ou realizar beacon via e-mail, frequentemente contornando proxies ou filtros de conteúdo corporativos. A telemetria inclui logs de firewall para conexões de saída nas portas 25, 465, 587, 993 e 995, eventos de criação de processos que iniciam conexões de e-mail e análise de linhagem de processos para identificar uso anômalo de protocolos de e-mail. Essa analítica é relevante porque o uso de e-mail como canal de exfiltração e C2 é uma técnica eficaz para contornar soluções de segurança que não inspecionam tráfego SMTP de saída por processos não-clientes. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0379](https://attack.mitre.org/detectionstrategies/DET0135#AN0379)*