# AN0729 — Analytic 0729 ## Descrição Esta analítica detecta em Linux processos que iniciam conexões de saída para portas calculadas a partir de IPs em respostas DNS, inspecionando logs do resolver e trilhas de auditoria. A telemetria inclui auditd com regras de rastreamento de syscalls de rede (connect, bind), logs do systemd-resolved e análise de tráfego de rede. A detecção é importante porque o uso de portas efêmeras derivadas de resoluções DNS é uma técnica de C2 que evita a detecção baseada em portas fixas conhecidas. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1095-non-application-layer-protocol|T1095 — Non-Application Layer Protocol]] - [[t1008-fallback-channels|T1008 — Fallback Channels]] --- *Fonte: [MITRE ATT&CK — AN0729](https://attack.mitre.org/detectionstrategies/DET0262#AN0729)*