# AN0988 — Analytic 0988 ## Descrição Este analítico detecta discrepâncias suspeitas no volume de tráfego de saída gerado por processos que tipicamente não realizam atividade de rede, especialmente sobre protocolos C2 como HTTPS, DNS ou portas TCP/UDP personalizadas, seguindo acesso a arquivos ou dados. A telemetria utilizada inclui logs de firewall do Windows, eventos de rede do Sysmon (EID 3) e captura de pacotes correlacionando o processo gerador com o volume de dados transmitidos após eventos de acesso a arquivos (Sysmon EID 11). A detecção é fundamental para identificar exfiltração de dados encoberta por malware que usa protocolos comuns para misturar tráfego C2 com comúnicações legítimas, uma técnica amplamente usada por RATs e frameworks de pós-exploração como Cobalt Strike. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1020-automated-exfiltration|T1020 — Automated Exfiltration]] --- *Fonte: [MITRE ATT&CK — AN0988](https://attack.mitre.org/detectionstrategies/DET0348#AN0988)*