# AN0633 — Analytic 0633 ## Descrição Este analítico detecta processos iniciando conexões de saída em portas incomuns ou usando protocolos inconsistentes com a porta atribuída, revelando anomalias como `svchost.exe` ou aplicativos Office usando portas atípicas de alto número através da correlação de criação de processos com conexões de rede subsequentes. A telemetria inclui logs de firewall com registros de conexão por porta e processo, logs de fluxo de rede (NetFlow/IPFIX) com correlação de processo originador via endpoint agents e alertas de NIDS para protocolos em portas não padrão. Essa detecção é importante pois o uso de portas não convencionais e incompatibilidade protocolo-porta são técnicas clássicas de evasão de firewall usadas por malware para comunicação C2, aproveitando regras de firewall permissivas para portas específicas para tunelamento de tráfego malicioso. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1571-non-standard-port|T1571 — Non-Standard Port]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1095-non-application-layer-protocol|T1095 — Non-Application Layer Protocol]] - [[t1090-proxy|T1090 — Proxy]] --- *Fonte: [MITRE ATT&CK — AN0633](https://attack.mitre.org/detectionstrategies/DET0227#AN0633)*