# AN1226 — Analytic 1226 ## Descrição Detecta tráfego suspeito de curl, wget ou sockets customizados no Linux que utiliza DNS, HTTPS ou protocolos estilo IRC com tráfego desequilibrado ou intervalos regulares do tipo beacon. A telemetria inclui eventos de criação de conexões de rede por processos de linha de comando, análise de padrões de temporização de tráfego e correlação com execução de scripts. Essa análise é essencial para identificar implantes em servidores Linux que usam ferramentas nativas do sistema operacional para comunicação com infraestrutura C2. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1071.004-dns|T1071.004 — DNS]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] --- *Fonte: [MITRE ATT&CK — AN1226](https://attack.mitre.org/detectionstrategies/DET0444#AN1226)*