# AN1294 — Analytic 1294 ## Descrição Detecta processos não confiáveis criando conexões TLS/HTTPS de saída com certificados malformados ou campos de cabeçalho inconsistentes com o comportamento do serviço alvo, frequentemente utilizados para imitar protocolos legítimos. A detecção ocorre por análise de metadados de tráfego, fingerprinting TLS (JA3/JA3S) e linhagem do processo host. A telemetria inclui logs de proxy de rede, inspeção TLS via EDR, eventos de criação de processos e logs de firewall. Esta detecção é essencial para identificar malware que tenta disfarçar comúnicações C2 como tráfego HTTPS legítimo, uma técnica comum em frameworks como Cobalt Strike e Metasploit. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1071-001-web-protocols|T1071.001 — Web Protocols]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1001-data-obfuscation|T1001 — Data Obfuscation]] - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] --- *Fonte: [MITRE ATT&CK — AN1294](https://attack.mitre.org/detectionstrategies/DET0470#AN1294)*