# AN1190 — Analytic 1190 ## Descrição Detecta ferramentas de linha de comando, agentes ou scripts fazendo conexões HTTPS de saída para serviços web populares como Discord, Slack, Dropbox ou Graph API em contexto incomum. A telemetria inclui auditd com regras para conexões de socket de saída, logs de proxy e monitoramento de processos para correlacionar ferramentas CLI ou scripts com conexões a serviços web legítimos usados como canal de C2. Essa técnica é especialmente difícil de bloquear porque utiliza domínios altamente confiáveis e amplamente usados, tornando o contexto do processo origem o principal discriminador de comportamento malicioso versus legítimo. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1102-web-service|T1102 — Web Service]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1190](https://attack.mitre.org/detectionstrategies/DET0425#AN1190)*