# AN0922 — Analytic 0922 ## Descrição Este analytic detecta processos incomuns como `rundll32`, `mshta`, `wscript` ou payloads customizados iniciando conexões de rede para IPs ou domínios externos que fazem proxy de tráfego C2, frequentemente em portas incomuns ou conexões HTTP/S com alta entropia. A telemetria inclui logs de rede capturados por EDR/Sysmon (Event ID 3 — Network Connection), análise de entropia de payload HTTP e correlação entre linhagem de processos e destinos de conexão. O uso de proxies externos para tráfego C2 é uma técnica de evasão de firewall e DLP que dificulta a atribuição e o bloqueio direto de servidores de comando e controle, sendo amplamente utilizado por grupos como Cobalt Strike beacons configurados para comunicação via serviços legítimos. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1090-proxy|T1090 — Proxy]] - [[t1090-003-multi-hop-proxy|T1090.003 — Multi-hop Proxy]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1059-005-visual-basic|T1059.005 — Visual Basic]] --- *Fonte: [MITRE ATT&CK — AN0922](https://attack.mitre.org/detectionstrategies/DET0325#AN0922)*