# AN0423 — Analytic 0423 ## Descrição Detecta eventos de acesso ou staging de dados seguidos de fluxos de saída usando protocolos não encriptados (como FTP ou HTTP) iniciados por processos inesperados ou para destinos raros. A telemetria necessária inclui monitoramento de rede para tráfego em texto claro (FTP/HTTP em portas não-80), logs de criação de processos correlacionados com atividade de rede e inspeção de tráfego de saída para identificar transmissões volumosas via protocolos legados. Essa detecção é importante porque o uso deliberado de protocolos não encriptados para exfiltração indica que o adversário prioriza velocidade de transferência em detrimento de furtividade, frequentemente ocorrendo nas fases finais de uma intrusão. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1048-003-exfiltration-over-alternative-protocol-exfiltration-over-unencrypted-non-c2-protocol|T1048.003 — Exfiltration Over Unencrypted Protocol]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] --- *Fonte: [MITRE ATT&CK — AN0423](https://attack.mitre.org/detectionstrategies/DET0149#AN0423)*