# AN1161 — Analytic 1161 ## Descrição Detecta ferramentas de linha de comando (curl, rsync, wget ou scripts Python personalizados) usadas para raspar sistemas de documentação ou APIs REST internas, com padrões de acesso incomuns a pastas de base de conhecimento ou drives de equipe compartilhados. A telemetria inclui logs de acesso de servidores web e wikis internos, auditd para execução de ferramentas de transferência e logs de proxy para identificar scraping automatizado de repositórios de conhecimento. Esse analítico é relevante porque documentos internos frequentemente contêm informações sensíveis como arquiteturas de rede, credenciais e processos operacionais que têm alto valor para adversários em fase de reconhecimento interno. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1213-data-from-information-repositories|T1213 — Data from Information Repositories]] - [[t1083-file-and-directory-discovery|T1083 — File and Directory Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] --- *Fonte: [MITRE ATT&CK — AN1161](https://attack.mitre.org/detectionstrategies/DET0413#AN1161)*