# AN1255 — Analytic 1255 ## Descrição Detecta tráfego ICMP ou de socket raw gerado por processos de modo usuário no Linux como bash, Python ou nc, tipicamente usando ping, hping3 ou pacotes elaborados via libpcap ou scapy. A telemetria inclui eventos de criação de sockets raw pelo kernel, execução de ferramentas de manipulação de pacotes e análise de padrões de tráfego ICMP incomuns em logs de firewall. Essa análise identifica adversários que utilizam ICMP como canal C2 oculto, explorando o fato de que muitos firewalls permitem tráfego ICMP sem inspeção profunda. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1095-non-application-layer-protocol|T1095 — Non-Application Layer Protocol]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] --- *Fonte: [MITRE ATT&CK — AN1255](https://attack.mitre.org/detectionstrategies/DET0457#AN1255)*