# AN1414 — Analytic 1414 ## Descrição Detecta acesso a arquivos em staging (arquivos comprimidos ou ofuscados) seguido de conexão de saída criptografada (TLS/HTTPS) iniciada por processos incomuns como curl/wget, scripts Python ou binários personalizados em sistemas Linux. A telemetria combina logs de auditoria de criação e acesso a arquivos comprimidos com eventos de rede que identificam conexões TLS estabelecidas por processos não browser em sequência temporal próxima. Essa detecção é relevante para infraestruturas de servidor Linux onde exfiltração de dados confidenciais pode ocorrer via ferramentas legítimas do sistema operacional que são abusadas para transferência de dados para servidores C2. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1074-001-local-data-staging|T1074.001 — Local Data Staging]] - [[t1560-001-archive-via-utility|T1560.001 — Archive via Utility]] --- *Fonte: [MITRE ATT&CK — AN1414](https://attack.mitre.org/detectionstrategies/DET0512#AN1414)*