# AN1114 — Analytic 1114 ## Descrição Este analítico detecta scripts em background (como via `cron`) ou daemons transmitindo dados repetidamente para IPs ou URLs remotos. Utiliza telemetria de `auditd`, netflow e monitoramento de conexões de rede para identificar padrões de transmissão de dados com regularidade temporal e destinos externos consistentes. A detecção é relevante porque exfiltração automatizada via `cron` em Linux é uma técnica eficiente usada por adversários para extrair dados regularmente sem necessitar de acesso interativo ao sistema comprometido. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1119-automated-collection|T1119 — Automated Collection]] --- *Fonte: [MITRE ATT&CK — AN1114](https://attack.mitre.org/detectionstrategies/DET0397#AN1114)*