# AN1149 — Analytic 1149 ## Descrição Detecta adversários filtrando tráfego ou modificando respostas de servidor para evadir varredura, monitorando configurações de iptables, nftables ou proxy que negam ou redirecionam requisições de agentes de varredura conhecidos ou ferramentas defensivas. A telemetria inclui logs de auditd para modificações de regras de firewall, logs de sistema para alterações de configuração de proxy e correlação com atividade de rede para identificar comportamento evasivo seletivo. Essa técnica é utilizada por adversários para criar infraestrutura que responde diferentemente para scanners de segurança e para vítimas reais, dificultando análise forense e detecção. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1090-proxy|T1090 — Proxy]] - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1583-acquire-infrastructure|T1583 — Acquire Infrastructure]] --- *Fonte: [MITRE ATT&CK — AN1149](https://attack.mitre.org/detectionstrategies/DET0411#AN1149)*