# AN0923 — Analytic 0923 ## Descrição Este analytic detecta `curl`, `wget`, `ncat`, `socat` ou binários customizados iniciando tráfego de saída para proxies baseados na Internet (como VPS ou CDN), incluindo constructs de reverse shell ou beacons persistentes de saída. A telemetria inclui logs de rede (Zeek/Suricata) com análise de padrões de temporização de conexões, logs de auditoria do kernel para execuções de processo de rede e análise de payload de tráfego. Em Linux, reverse shells via socat ou ncat para proxies externos são um vetor de comunicação C2 extremamente comum por sua versatilidade e pela dificuldade de distingui-los de tráfego administrativo legítimo. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1090-proxy|T1090 — Proxy]] - [[t1090-003-multi-hop-proxy|T1090.003 — Multi-hop Proxy]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1071-001-web-protocols|T1071.001 — Web Protocols]] --- *Fonte: [MITRE ATT&CK — AN0923](https://attack.mitre.org/detectionstrategies/DET0325#AN0923)*