# AN1230 — Analytic 1230 ## Descrição Detecta ferramentas de espaço de usuário (como socat, ncat, iptables, ssh) usadas de formas não convencionais para estabelecer shells reversos, encaminhamento de portas ou conexões entre hosts no Linux. A telemetria inclui eventos de execução de processos de rede, análise de argumentos de linha de comando para parâmetros de redirecionamento e correlação com destinos de saída incomuns ou túneis SSH. Essas técnicas são frequentemente encadeadas por adversários durante movimentação lateral para criar canais de comunicação persistentes. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1090-proxy|T1090 — Proxy]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1021.004-ssh|T1021.004 — SSH]] --- *Fonte: [MITRE ATT&CK — AN1230](https://attack.mitre.org/detectionstrategies/DET0445#AN1230)*