# AN1497 — Analytic 1497 ## Descrição Detecta processos Linux (como `bash`, `python` ou binários customizados) que fazem link dinâmico com libcrypto/libssl para troca de chaves RSA e, em seguida, criam conexões externas com válidação de certificado anômala ou irregularidades no handshake. A telemetria inclui rastreamento de syscalls via auditd, análise de carregamento de bibliotecas compartilhadas e monitoramento de trocas de chaves assimétricas de saída por processos não nativos de SSL. Esta analítica detecta implantes C2 em Linux que implementam criptografia própria usando libcrypto, técnica que evade soluções de proxy SSL que inspecionam apenas aplicações de rede conhecidas. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1106-native-api|T1106 — Native API]] - [[t1090-proxy|T1090 — Proxy]] --- *Fonte: [MITRE ATT&CK — AN1497](https://attack.mitre.org/detectionstrategies/DET0543#AN1497)*