# AN1390 — Analytic 1390 ## Descrição Detecta utilitários de linha de comando ou scripts usando bibliotecas de criptografia ou algoritmos simétricos (como OpenSSL AES, GPG ou Python com PyCrypto) em conjunto com transferências de arquivos de saída ou tráfego para destinos externos. Utiliza auditd e análise de linha de comando para correlacionar uso de ferramentas de criptografia com atividade de transferência de dados para identificar exfiltração de dados protegida por criptografia customizada. Importante para detectar exfiltração de dados sensíveis que usa criptografia de camada de aplicação adicional para encobrir o conteúdo transferido mesmo em canais HTTPS inspecionados por proxies corporativos. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1001-data-obfuscation|T1001 — Data Obfuscation]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] --- *Fonte: [MITRE ATT&CK — AN1390](https://attack.mitre.org/detectionstrategies/DET0503#AN1390)*