# AN1376 — Analytic 1376 ## Descrição Detecta estabelecimento de conexões de rede em portas ou protocolos não convencionais após interrupção ou bloqueio do canal C2 primário, frequentemente executado por processos que normalmente não exibem atividade de rede significativa. Utiliza logs de firewall, telemetria de rede do Sysmon (Event ID 3) e análise de comportamento de processos para identificar conexões de fallback a destinos externos incomuns por processos sem histórico de comunicação de rede. Importante para detectar adversários que implementam múltiplos canais de C2 redundantes e alternam para protocolos alternativos quando o canal principal é bloqueado por controles de segurança de rede. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1008-fallback-channels|T1008 — Fallback Channels]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1095-non-application-layer-protocol|T1095 — Non-Application Layer Protocol]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] --- *Fonte: [MITRE ATT&CK — AN1376](https://attack.mitre.org/detectionstrategies/DET0499#AN1376)*