# AN1483 — Analytic 1483 ## Descrição Detecta processos como `plink.exe`, `ssh.exe` ou `netsh.exe` estabelecendo conexões de rede de saída onde os padrões de tráfego mostram protocolos encapsulados (como RDP sobre SSH). A telemetria inclui eventos de conexão de rede (Sysmon EventID 3), análise de fluxos de rede com grandes assimetrias de dados e detecção de uso inadequado de portas (tráfego RDP em porta SSH 22). Esta analítica é crítica para detectar túneis de protocolo usados por adversários para exfiltrar dados ou controlar sistemas comprometidos através de canais que parecem tráfego legítimo de administração remota. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1090-proxy|T1090 — Proxy]] --- *Fonte: [MITRE ATT&CK — AN1483](https://attack.mitre.org/detectionstrategies/DET0538#AN1483)*