# AN0788 — Analytic 0788 ## Descrição Esta analítica detecta em Linux uso de curl, wget ou scripts customizados para enviar dados via POST para serviços similares ao Pastebin, identificando comportamento encadeado onde arquivos são comprimidos ou lidos seguidos de requisições HTTPS POST para endpoints de compartilhamento de texto. A telemetria inclui auditd para rastreamento de execução de curl/wget com métodos POST, logs de proxy de rede e correlação com operações de leitura de arquivo e acesso a dados sensíveis que precedem a exfiltração. A detecção é relevante porque servidores Linux comprometidos frequentemente usam ferramentas nativas como curl para exfiltrar dados de configuração, credenciais ou código-fonte para serviços de paste de acesso público. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0788](https://attack.mitre.org/detectionstrategies/DET0284#AN0788)*