# AN0895 — Analytic 0895 ## Descrição Este analytic detecta processos como PowerShell, Git ou curl iniciando requisições HTTPS POST de saída para APIs de repositórios de código conhecidos (github.com, gitlab.com) imediatamente após leituras de arquivos em grande volume. A telemetria inclui eventos de acesso a arquivos (EDR/Sysmon), logs de rede com razões de bytes enviados/recebidos e eventos de criação de processo correlacionados com atividade de diretórios sensíveis como `Documents` ou pastas financeiras. O uso de repositórios de código como canal de exfiltração é atraente para adversários por se misturar com tráfego legítimo de desenvolvedores, dificultando a detecção por soluções tradicionais de DLP. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] - [[t1567-001-exfiltration-to-code-repository|T1567.001 — Exfiltration to Code Repository]] - [[t1059-001-powershell|T1059.001 — PowerShell]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] --- *Fonte: [MITRE ATT&CK — AN0895](https://attack.mitre.org/detectionstrategies/DET0318#AN0895)*