# AN0424 — Analytic 0424 ## Descrição Detecta utilitários de acesso ou compressão de arquivos seguidos de conexões de saída usando `curl`, `wget`, `ftp` ou binários customizados comúnicando via protocolos não encriptados. A telemetria necessária inclui auditd para rastrear execução de utilitários de transferência de arquivo, análise de tráfego de rede para identificar fluxos HTTP/FTP em texto claro e correlação de eventos de acesso a arquivos com estabelecimento de conexões de saída. Essa detecção em Linux é relevante para identificar exfiltração por scripts de adversário que combinam staging local de dados com transferência direta via protocolos legados sem TLS. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1048-003-exfiltration-over-alternative-protocol-exfiltration-over-unencrypted-non-c2-protocol|T1048.003 — Exfiltration Over Unencrypted Protocol]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] --- *Fonte: [MITRE ATT&CK — AN0424](https://attack.mitre.org/detectionstrategies/DET0149#AN0424)*