# AN0652 — Analytic 0652 ## Descrição Detecta uso incomum de binários esteganográficos ou de processamento de mídia — como `steghide`, `ffmpeg` e `imagemagick` — seguido de comunicação de saída para IPs externos com alta transferência de dados e tipos MIME de mídia. A telemetria inclui logs de execução de processos (auditd/Sysmon para Linux), registros de firewall e captura de tráfego de rede que identificam a cadeia de execução de ferramenta + conexão externa com payload de mídia. Essa analítica é importante pois a esteganografia é uma técnica avançada de exfiltração que permite ocultar dados sensíveis em arquivos de imagem ou áudio, tornando o tráfego malicioso indistinguível de comúnicações legítimas de mídia. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] --- *Fonte: [MITRE ATT&CK — AN0652](https://attack.mitre.org/detectionstrategies/DET0235#AN0652)*