# AN1484 — Analytic 1484 ## Descrição Detecta processos como `sshd`, `socat` ou binários customizados iniciando port forwarding ou encapsulando tráfego (como RDP, SMB) através de SSH ou HTTP em sistemas Linux. A telemetria inclui rastreamento de syscalls `connect`/`bind` via auditd, análise de fluxos de rede com tráfego criptografado em portas de serviços normalmente não criptografados e padrões de volume de tráfego que desviam da linha de base. Esta analítica é relevante para detectar canais de C2 e túneis usados por adversários para pivotamento em redes internas através de sistemas Linux comprometidos que atuam como proxies. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1090-proxy|T1090 — Proxy]] --- *Fonte: [MITRE ATT&CK — AN1484](https://attack.mitre.org/detectionstrategies/DET0538#AN1484)*