# AN0896 — Analytic 0896 ## Descrição Este analytic identifica processos como `git`, `curl` ou scripts Python que empacotam arquivos com `tar` ou `gzip` seguidos de uploads HTTPS para endpoints de repositórios de código. A telemetria inclui logs de auditoria do kernel (auditd), logs de rede (Zeek/Suricata) com análise de razão de bytes de saída/entrada e eventos de criação de processo. Detectar atividade `git push` incomum ou requisições HTTPS scriptadas fora do horário normal de trabalho é um indicador relevante de exfiltração de dados via repositórios, técnica cada vez mais utilizada por grupos de espionagem cibernética que exploram a confiança organizacional em plataformas de desenvolvimento. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] - [[t1567-001-exfiltration-to-code-repository|T1567.001 — Exfiltration to Code Repository]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] --- *Fonte: [MITRE ATT&CK — AN0896](https://attack.mitre.org/detectionstrategies/DET0318#AN0896)*