# AN0404 — Analytic 0404 ## Descrição Detecta fluxos com payloads encriptados de alta entropia que não correspondem a padrões de handshake TLS, particularmente quando ocorrem em portas não padrão, correlacionando anomalias de distribuição de bytes NetFlow/IPFIX ou padrões de cifragem simétrica identificados por IDS/IPS sem troca de chaves associada. A telemetria necessária inclui dados NetFlow/IPFIX, alertas de IDS/IPS configurados para detecção de entropia e análise de tráfego em portas não convencionais. Essa detecção é estratégicamente valiosa em dispositivos de rede, pois adversários que comprometem roteadores frequentemente estabelecem canais de C2 que imitam tráfego legítimo mas usam cifragem proprietária para evitar inspeção profunda de pacotes. **Plataformas:** Network Devices --- ## Técnicas Relacionadas - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1573-001-encrypted-channel-symmetric-cryptography|T1573.001 — Symmetric Cryptography]] - [[t1571-non-standard-port|T1571 — Non-Standard Port]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] --- *Fonte: [MITRE ATT&CK — AN0404](https://attack.mitre.org/detectionstrategies/DET0143#AN0404)*