# AN1229 — Analytic 1229 ## Descrição Detecta criação suspeita de processos (rundll32, svchost, powershell, netsh) seguida de estabelecimento de conexão de rede para hosts internos ou endpoints externos incomuns em portas altas ou não padrão no Windows. A telemetria inclui eventos de criação de processos correlacionados com eventos de conexão de rede, análise de pares processo-porta-destino e detecção de comportamentos de proxy ou tunelamento. Essa análise é fundamental para identificar implantes que usam processos legítimos do Windows como launchers de comunicação C2. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1090-proxy|T1090 — Proxy]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] --- *Fonte: [MITRE ATT&CK — AN1229](https://attack.mitre.org/detectionstrategies/DET0445#AN1229)*