# AN0927 — Analytic 0927 ## Descrição Este analytic detecta processos ou scripts que constroem ou referênciam tabelas de tradução de alfabeto customizadas (codificação Base-N arbitrária, loops XOR) ou emitem strings longas de alta entropia que não válidam como Base64/Hex padrão, seguidos de tráfego de saída com razão assimétrica de bytes, beacons de tamanho fixo ou incompatibilidades de protocolo e cabeçalho. A telemetria inclui análise comportamental de processos por EDR, inspeção de payload de rede (TLS interception) e correlação entre atividade de processo e anomalias de tráfego. Codificação customizada de C2 é usada por adversários sofisticados para evadir a detecção baseada em assinatura de protocolos, complicando análise de tráfego por soluções de NDR/NTA. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1001-data-obfuscation|T1001 — Data Obfuscation]] - [[t1001-003-protocol-impersonation|T1001.003 — Protocol Impersonation]] - [[t1132-data-encoding|T1132 — Data Encoding]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN0927](https://attack.mitre.org/detectionstrategies/DET0326#AN0927)*