# AN1389 — Analytic 1389 ## Descrição Detecta processos não-browser estabelecendo conexões de rede criptografadas de saída usando protocolos de criptografia simétrica não convencionais (como AES via PowerShell ou scripts customizados) para destinos externos atípicos. Utiliza telemetria de rede do Sysmon (Event ID 3), análise de tráfego TLS e logs de firewall para correlacionar execução de scripts com criptografia e estabelecimento de conexões para destinos fora do padrão histórico do host. Importante para detectar canais C2 customizados que utilizam criptografia própria sobre TCP/UDP para evitar inspeção de tráfego HTTPS padrão por proxies corporativos e gateways de segurança. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1001-data-obfuscation|T1001 — Data Obfuscation]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1389](https://attack.mitre.org/detectionstrategies/DET0503#AN1389)*