# AN1500 — Analytic 1500 ## Descrição Detecta sessões criptografadas com anomalias na troca de chaves assimétricas em portas não padrão ou com certificados inválidos ou malformados em dispositivos de rede. A telemetria correlaciona dados de NetFlow/IPFIX com alertas de IDS/IPS detectando trocas RSA fora dos fluxos TLS esperados e análise de padrões de tráfego encriptado anômalo. Esta analítica é relevante para detectar canais C2 em dispositivos de rede comprometidos, onde implantes de firmware estabelecem sessões criptografadas não autorizadas que imitam o tráfego de gerenciamento legítimo mas apresentam irregularidades detectáveis na negociação criptográfica. **Plataformas:** Network Devices --- ## Técnicas Relacionadas - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1601-modify-system-image|T1601 — Modify System Image]] - [[t1090-proxy|T1090 — Proxy]] --- *Fonte: [MITRE ATT&CK — AN1500](https://attack.mitre.org/detectionstrategies/DET0543#AN1500)*