# AN1599 — Analytic 1599 ## Descrição Detecta processos suspeitos iniciando conexões de saída a serviços web sem tráfego de resposta ou retorno correspondente, indicativo de canais de comando unidirecionais usados em comúnicações C2 com plataformas legítimas como GitHub, Pastebin ou serviços de armazenamento em nuvem. A telemetria inclui logs de firewall, eventos de conexão de rede (Sysmon Event ID 3) e análise de fluxo que revelam padrões assimétricos de tráfego HTTP/HTTPS. Adversários utilizam serviços web legítimos como canais C2 para contornar listas de bloqueio de domínio e controles de inspeção de tráfego. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1102-web-service|T1102 — Web Service]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1599](https://attack.mitre.org/detectionstrategies/DET0581#AN1599)*