# AN1377 — Analytic 1377 ## Descrição Detecta criação de conexões de saída em portas alternativas ou utilizando transporte encoberto (como ICMP ou DNS) por processos não intensivos em rede em Linux, especialmente após interrupção ou bloqueio conhecidos de tráfego primário. Utiliza auditd, análise de tráfego de rede e ferramentas de detecção de DNS tunneling para identificar padrões de comunicação de fallback em protocolos covert. Técnica favorita de APTs para manter comunicação C2 em redes com saída HTTP/S bloqueada, tornando a detecção especialmente valiosa em ambientes de alta segurança com egress filtering rigoroso. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1008-fallback-channels|T1008 — Fallback Channels]] - [[t1095-non-application-layer-protocol|T1095 — Non-Application Layer Protocol]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] --- *Fonte: [MITRE ATT&CK — AN1377](https://attack.mitre.org/detectionstrategies/DET0499#AN1377)*