# AN1295 — Analytic 1295 ## Descrição Detecta binários que estabelecem sessões criptografadas usando OpenSSL ou curl para serviços externos com portas ou protocolos incompatíveis com o comportamento esperado. Identifica comportamentos onde serviços internos simulam padrões de tráfego de serviços de nuvem confiáveis. A telemetria inclui logs de auditd, eventos de criação de conexões de rede via `ss`/`netstat`, alertas de proxy e análise de fingerprinting TLS com JA3. Esta detecção visa identificar ferramentas de C2 em Linux que abusam de bibliotecas legítimas como OpenSSL para criar canais encobertos que imitam serviços de nuvem como AWS, Azure ou CDNs conhecidos. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1001-data-obfuscation|T1001 — Data Obfuscation]] - [[t1102-web-service|T1102 — Web Service]] --- *Fonte: [MITRE ATT&CK — AN1295](https://attack.mitre.org/detectionstrategies/DET0470#AN1295)*