# AN1600 — Analytic 1600 ## Descrição Detecta execuções de curl, wget ou clientes HTTP customizados iniciados por contas de usuário incomuns ou tarefas cron a serviços web populares, sem lógica observada de análise de resposta, indicando uso como canal C2 unidirecional. A telemetria inclui logs de auditoria do Linux (auditd), eventos de execução de processos com argumentos de linha de comando e dados de fluxo de rede que revelam padrões de requisição HTTP sem correlação de resposta. Adversários utilizam ferramentas HTTP nativas do Linux para enviar beacons ou receber comandos de infraestrutura C2 hospedada em serviços legítimos da internet. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1102-web-service|T1102 — Web Service]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN1600](https://attack.mitre.org/detectionstrategies/DET0581#AN1600)*