# AN0597 — Analytic 0597 ## Descrição Este analítico detecta conexões de saída de processos Linux não orientados à rede que enviam repetidamente payloads de tamanho similar dentro de intervalos de tempo uniformes, padrão característico de beaconing de C2. A telemetria inclui logs de conexão de rede do `auditd`, capturas de tráfego via `tcpdump` ou Zeek com análise de periodicidade, e correlação de processos originadores com seu comportamento esperado de rede baseado em baseline. Essa detecção é relevante em ambientes Linux pois implantes de C2 em servidores Linux frequentemente utilizam beaconing periódico para manter comunicação furtiva com sua infraestrutura de comando e controle enquanto minimizam ruído de rede. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1095-non-application-layer-protocol|T1095 — Non-Application Layer Protocol]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0597](https://attack.mitre.org/detectionstrategies/DET0213#AN0597)*