# AN1170 — Analytic 1170 ## Descrição Detecta uso de FTP, SCP ou TFTP por shells não interativos ou scripts de automação transferindo grandes volumes de dados para IPs não confiáveis. A telemetria inclui auditd para execução de ferramentas de transferência de arquivo, logs de rede (netflow, logs de firewall) e monitoramento de processos para correlacionar o contexto de execução do script com o destino e volume da transferência. Essa detecção é relevante porque scripts maliciosos em Linux frequentemente abusam de ferramentas de transferência nativas (scp, ftp, tftp) para exfiltração automatizada de dados coletados, beneficiando-se da confiabilidade desses protocolos para evitar detecção por DLP. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1020-automated-exfiltration|T1020 — Automated Exfiltration]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN1170](https://attack.mitre.org/detectionstrategies/DET0416#AN1170)*