# AN1956 — Analytic 1956 ## Descrição Esta analítica detecta staging de malware acessível públicamente por adversários quando infraestrutura ou padrões em malware previamente identificados são expostos via scanning de internet, indicando preparação para campanhas de targeting. A telemetria inclui dados de scanners de internet (Shodan, Censys) correlacionados com indicators of compromise conhecidos, telemetria de DNS passivo monitorando novos domínios associados a famílias de malware conhecidas, e feeds de inteligência que rastreiam infraestrutura C2 recém-ativada; a detecção efetiva de uso do malware ocorre nas fases User Execution (T1204) e Ingress Tool Transfer (T1105). Esta analítica orienta equipes de CTI a utilizar scanning proativo de internet como fonte de inteligência sobre staging adversarial antes da fase de execução. **Plataformas:** PRE --- ## Técnicas Relacionadas - [[t1608-stage-capabilities|T1608 — Stage Capabilities]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN1956](https://attack.mitre.org/detectionstrategies/DET0824#AN1956)*