# AN0926 — Analytic 0926 ## Descrição Este analytic detecta alterações em políticas NAT/firewall que habilitam o encaminhamento de porta de saída de IPs internos para endpoints de proxy baseados na Internet, além de picos de log em fluxos de saída para CDNs, VPS ou ASNs anômalos com poucos pacotes de retorno. A telemetria inclui logs de configuração do dispositivo de rede, dados NetFlow/sFlow com análise de assimetria de fluxo e logs de firewall categorizados por destino e razão de bytes. Em dispositivos de rede, a configuração de regras de proxy por adversários é uma técnica de C2 altamente persistente que sobrevive a reimplantações de hosts comprometidos, direcionando tráfego de toda a rede para servidores de comando e controle controlados pelo atacante. **Plataformas:** Network Devices ## Técnicas Relacionadas - [[t1090-proxy|T1090 — Proxy]] - [[t1090-001-internal-proxy|T1090.001 — Internal Proxy]] - [[t1599-network-boundary-bridging|T1599 — Network Boundary Bridging]] - [[t1562-004-disable-or-modify-system-firewall|T1562.004 — Disable or Modify System Firewall]] --- *Fonte: [MITRE ATT&CK — AN0926](https://attack.mitre.org/detectionstrategies/DET0325#AN0926)*