# AN0401 — Analytic 0401 ## Descrição Detecta processos inesperados (como bash, python ou binários customizados) que carregam dinâmicamente libcrypto ou realizam operações de cifragem AES/RC4, seguidos de sessões de saída com entropia de bytes anormal ou padrões de tráfego assimétricos. A telemetria necessária inclui logs de carregamento de módulos em nível de processo, análise de tráfego de rede via NetFlow ou captura de pacotes, e auditoria de chamadas de sistema como `ptrace` ou `mmap`. Essa detecção é importante porque adversários frequentemente implementam canais de comunicação encriptados manualmente para contornar inspeção TLS padrão e manter C2 persistente em ambientes Linux. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1573-002-encrypted-channel-asymmetric-cryptography|T1573.002 — Asymmetric Cryptography]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] --- *Fonte: [MITRE ATT&CK — AN0401](https://attack.mitre.org/detectionstrategies/DET0143#AN0401)*