# AN1021 — Analytic 1021 ## Descrição Este analítico detecta o uso de ferramentas de proxy e tunelamento no Linux — como `tor`, `nglite`, `proxychains`, `chisel` ou daemons customizados — que iniciam repetidamente sessões de saída para múltiplos nós antes de atingir o destino final, comportamento anormal para serviços Linux fora de contextos de VPN, monitoramento ou CDN. A telemetria utilizada inclui eventos do auditd para execução dessas ferramentas, logs de rede via netfilter/iptables para padrões de multi-hop e análise de destinos de conexão para identificar endereços de nós Tor ou infraestrutura de proxy conhecida. Esta detecção é importante para identificar operadores de ameaça que utilizam Linux como plataforma de pivô para obscurecer a origem do tráfego C2 em operações de espionagem de longo prazo. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1090-proxy|T1090 — Proxy]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN1021](https://attack.mitre.org/detectionstrategies/DET0359#AN1021)*