# AN1173 — Analytic 1173 ## Descrição Detecta hosts internos gerando grandes sessões FTP/TFTP/SMB de saída para IPs externos ou transferências de arquivo usando portas não padrão e incompatibilidades de aplicação (por exemplo, FTP sobre porta 80). A telemetria inclui logs de fluxo de rede (NetFlow/sFlow), logs de inspeção profunda de pacotes (DPI) e alertas de anomalias de protocolo de dispositivos de rede para identificar uso indevido de protocolos para exfiltração. Essa detecção é importante porque adversários frequentemente utilizam protocolos de transferência de arquivo em portas não convencionais para contornar regras de firewall baseadas em portas e sistemas de DLP que filtram apenas canais web. **Plataformas:** Network Devices --- ## Técnicas Relacionadas - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1571-non-standard-port|T1571 — Non-Standard Port]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN1173](https://attack.mitre.org/detectionstrategies/DET0416#AN1173)*