# AN1189 — Analytic 1189 ## Descrição Detecta conexões de saída incomuns a serviços web a partir de processos incomuns usando SSL/TLS, especialmente aqueles exibindo alto volume de dados de saída ou comportamento de persistência. A telemetria inclui Sysmon (Event ID 3 para conexões de rede), logs de firewall do Windows e correlação de processos com destinos de rede para identificar binários não-browser estabelecendo conexões HTTPS persistentes para serviços web de terceiros. Esse analítico detecta C2 via serviços web legítimos (web service C2), uma técnica de evasão popular que abusa de domínios confiáveis como Dropbox, OneDrive ou GitHub para comunicação encoberta com infraestrutura adversarial. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1102-web-service|T1102 — Web Service]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1090-proxy|T1090 — Proxy]] --- *Fonte: [MITRE ATT&CK — AN1189](https://attack.mitre.org/detectionstrategies/DET0425#AN1189)*