# AN0437 — Analytic 0437 ## Descrição Detecta processos como `curl`, `wget` ou scripts customizados iniciando requisições POST para endpoints de webhook com dados codificados ou em bulk, correlacionando compressão ou acesso a arquivos seguido de transmissão de dados para URLs de webhook conhecidas. A telemetria necessária inclui monitoramento de tráfego de rede para identificar requisições POST volumosas para domínios de serviços de webhook (Discord, Slack, Teams, etc.), logs de processo para correlação de acesso a arquivos com conexões de saída e análise DNS para resolução de domínios de webhook. Essa detecção é importante porque adversários utilizam webhooks de serviços legítimos para exfiltrar dados, abusando da confiança que organizações depositam em plataformas de comunicação corporativa para evitar bloqueios de firewall. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] - [[t1567-003-exfiltration-over-web-service-exfiltration-to-text-storage-sites|T1567.003 — Exfiltration to Text Storage Sites]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] --- *Fonte: [MITRE ATT&CK — AN0437](https://attack.mitre.org/detectionstrategies/DET0153#AN0437)*