# AN1254 — Analytic 1254 ## Descrição Detecta uso anômalo de ICMP ou UDP por processos que não são serviços de rede para exfiltração de dados ou controle remoto, especialmente quando o tráfego contorna a infraestrutura de proxy ou exibe padrões de fluxo incomuns no Windows. A telemetria inclui eventos de criação de conexões de rede e análise de tráfego por protocolo correlacionada com a identidade do processo de origem. Essa análise é importante para detectar implantes que utilizam protocolos não inspecionados por proxies corporativos para comunicação C2 ou exfiltração de dados. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1095-non-application-layer-protocol|T1095 — Non-Application Layer Protocol]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] --- *Fonte: [MITRE ATT&CK — AN1254](https://attack.mitre.org/detectionstrategies/DET0457#AN1254)*