# AN0760 — Analytic 0760 ## Descrição Esta analítica detecta em Linux processos como curl, wget, python, socat ou binários customizados iniciando sessões TLS/SSL para destinos não padrão, com o defensor observando syscalls connect() anômalas, carregamento de bibliotecas libssl e tráfego cifrado persistente de daemons que normalmente não se comúnicam externamente. A telemetria inclui auditd com rastreamento de syscalls de rede (connect, socket), análise de tráfego via tcpdump/Zeek e monitoramento de carregamento de bibliotecas compartilhadas. A detecção é importante porque ferramentas nativas do Linux são frequentemente utilizadas como LOLBins para estabelecer canais de C2 cifrados evadindo controles baseados em lista de bloqueio de processos. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1095-non-application-layer-protocol|T1095 — Non-Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN0760](https://attack.mitre.org/detectionstrategies/DET0273#AN0760)*