# AN1020 — Analytic 1020 ## Descrição Este analítico detecta processos suspeitos (clientes Tor, relays, binários desconhecidos) com tráfego criptografado de saída sustentado para infraestrutura de anonimato conhecida (Tor, I2P) no Windows, e que podem retransmitir para sistemas internos adicionais via proxy reverso, tunelamento ICMP ou encaminhamento de socket. A telemetria utilizada inclui eventos de rede do Sysmon (EID 3), listas de IPs e domínios de nós Tor conhecidos e monitoramento de conexões para portas características do Tor (9001, 9050, 9150), correlacionado com processos não reconhecidos. A detecção é importante porque o uso de Tor como canal C2 é uma técnica de evasão de firewall e IDS amplamente usada por grupos APT e ransomware para ocultar comúnicações de comando e controle atrás de tráfego criptografado anonimizado. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1090-proxy|T1090 — Proxy]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] --- *Fonte: [MITRE ATT&CK — AN1020](https://attack.mitre.org/detectionstrategies/DET0359#AN1020)*