# AN0928 — Analytic 0928 ## Descrição Este analytic detecta scripts shell ou binários que implementam tabelas de mapeamento customizadas usando `tr`, `sed`, `awk` ou loops de codificação em Go/Rust/Python, ou que emitem tokens longos de alta entropia que falham na válidação Base64/Hex, correlacionados com fluxo de saída assimétrico, incompatibilidades de protocolo ou corpos DNS/HTTP contendo alfabetos customizados de baixa diversidade. A telemetria inclui logs de auditoria do kernel, análise de chamadas de sistema e inspeção de payload de tráfego de rede via Zeek/Suricata. Em Linux, a codificação customizada é frequentemente observada em malware de cryptomining e implants de espionagem que precisam exfiltrar dados de forma discreta por redes monitoradas. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1001-data-obfuscation|T1001 — Data Obfuscation]] - [[t1132-data-encoding|T1132 — Data Encoding]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN0928](https://attack.mitre.org/detectionstrategies/DET0326#AN0928)*