# AN0787 — Analytic 0787 ## Descrição Esta analítica detecta processos inesperados (powershell.exe, wscript.exe, aplicativos Office) iniciando requisições HTTP POST/PUT para domínios de armazenamento de texto como pastebin.com ou hastebin.com, especialmente quando precedidos de acesso a arquivos em diretórios sensíveis. A telemetria inclui Sysmon Event ID 3 (conexão de rede para domínios de paste), Event ID 1 (linhagem de processo) e logs de proxy de rede para requisições HTTP POST para serviços de text storage. A detecção é importante porque o abuso de serviços de paste para exfiltração é um método popular que aproveita domínios com boa reputação para evadir filtros de URL baseados em categorias. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1059-001-powershell|T1059.001 — PowerShell]] --- *Fonte: [MITRE ATT&CK — AN0787](https://attack.mitre.org/detectionstrategies/DET0284#AN0787)*