# AN1496 — Analytic 1496 ## Descrição Detecta processos não normalmente associados a criptografia carregando bibliotecas de criptografia assimétrica (como `rsaenh.dll`, `crypt32.dll`) e, subsequentemente, iniciando conexões TLS/SSL de saída com cadeias de certificados anômalas ou handshakes malformados. A telemetria inclui eventos de carregamento de módulos (Sysmon EventID 7), correlação com criação de processos e análise de sessões criptografadas com certificados não reconhecidos ou comportamentos de handshake atípicos via inspeção TLS. Esta analítica é relevante para detectar canais de C2 que utilizam criptografia assimétrica para proteger comúnicações maliciosas, tornando-os difíceis de distinguir de tráfego HTTPS legítimo sem inspeção aprofundada. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1106-native-api|T1106 — Native API]] - [[t1090-proxy|T1090 — Proxy]] --- *Fonte: [MITRE ATT&CK — AN1496](https://attack.mitre.org/detectionstrategies/DET0543#AN1496)*