# AN0637 — Analytic 0637 ## Descrição Este analítico detecta processos iniciais que estabelecem conexão com um C2 de primeiro estágio, recebem payloads ou comandos, e então spawnam ou injetam em um segundo processo que estabelece uma nova conexão de saída para um destino não relacionado (C2 de segundo estágio), indicando infraestrutura C2 multi-estágio. A telemetria inclui logs de fluxo de rede com correlação de processo originador (NetFlow + endpoint agent), logs de criação de processos com rastreamento de linhagem e temporalidade de conexões (Sysmon Event ID 1 + Event ID 3) e alertas de UEBA para processos que rapidamente estabelecem múltiplas conexões externas para destinos distintos. Essa detecção é importante pois infraestruturas C2 multi-estágio são usadas pelos adversários mais sofisticados para aumentar a resiliência operacional, tornando o bloqueio do primeiro estágio insuficiente e requerendo identificação de toda a cadeia de comunicação para contenção eficaz. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1090-proxy|T1090 — Proxy]] --- *Fonte: [MITRE ATT&CK — AN0637](https://attack.mitre.org/detectionstrategies/DET0228#AN0637)*