# AN0565 — Analytic 0565 ## Descrição Este analítico detecta aplicações como `curl`, `wget` ou binários personalizados que iniciam conexões HTTPS onde o SNI TLS está ausente ou diverge do cabeçalho Host HTTP que aponta para endpoints C2 hospedados em CDN. A telemetria inclui logs de proxy de saída com inspeção TLS, registros de sistemas de detecção de intrusão em rede (NIDS) e auditoria de chamadas de sistema de rede via `auditd`. Essa detecção é essencial em ambientes Linux pois ferramentas de linha de comando são frequentemente utilizadas por malware e implantes para estabelecer canais C2 encobertos por domain fronting. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1090-proxy|T1090 — Proxy]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1102-web-service|T1102 — Web Service]] --- *Fonte: [MITRE ATT&CK — AN0565](https://attack.mitre.org/detectionstrategies/DET0196#AN0565)*