# AN0400 — Analytic 0400 ## Descrição Detecta processos que tipicamente não realizam operações criptográficas carregando bibliotecas de criptografia simétrica (como `bcryptprimitives.dll`, `aes.dll`) e então iniciando conexões de saída com payloads de alta entropia. A telemetria inclui eventos de carregamento de módulo (Sysmon Event ID 7), análise de entropia de payloads de rede e correlação de processos com comportamento criptográfico inesperado seguido de comúnicações de rede anômalas. Essa analítica é importante para detectar malwares que implementam criptografia customizada para comúnicações de C2, uma técnica usada para evadir inspeção de tráfego e assinaturas de IDS baseadas em protocolos conhecidos de C2. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN0400](https://attack.mitre.org/detectionstrategies/DET0143#AN0400)*