# AN0684 — Analytic 0684 ## Descrição Audita logs VoIP/SIP em busca de chamadas de saída suspeitas ou mensagens de configuração de chamada para endpoints incomuns, correlacionando com atividade de usuário subsequente como execução de browser ou instalação de pacotes. A telemetria inclui logs do servidor SIP/Asterisk, logs de rede e auditd que identificam a sequência de evento de chamada seguido de ação anômala no sistema como `apt install` ou download de pacote externo. Essa analítica é relevante para detectar campanhas de engenharia social que utilizam infraestrutura VoIP corporativa para realizar ataques de vishing em escala contra funcionários de ambientes Linux. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1566-phishing|T1566 — Phishing]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1219-remote-access-tools|T1219 — Remote Access Software]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0684](https://attack.mitre.org/detectionstrategies/DET0245#AN0684)*