# AN1961 — Analytic 1961 ## Descrição Esta analítica detecta uso de funções serverless como infraestrutura de comando e controle adversarial, identificável quando características únicas associadas ao software adversarial são conhecidas e podem ser rastreadas via scanning de internet ou análise de tráfego de saída, embora a detecção direta sejá difícil dado que a atividade ocorre predominantemente fora da visibilidade da organização. A telemetria disponível inclui análise de tráfego de saída para endpoints serverless (AWS Lambda URLs, Azure Functions, Google Cloud Functions) com padrões de comunicação incomuns, correlação de DNS/netflow para chamadas frequentes a infraestrutura serverless não relacionada ao negócio. Esta analítica é relevante porque o uso de infraestrutura cloud legítima como proxy C2 (serverless redirect) é uma técnica evasiva crescente entre grupos APT sofisticados. **Plataformas:** PRE --- ## Técnicas Relacionadas - [[t1608-stage-capabilities|T1608 — Stage Capabilities]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1102-web-service|T1102 — Web Service]] - [[t1090-proxy|T1090 — Proxy]] --- *Fonte: [MITRE ATT&CK — AN1961](https://attack.mitre.org/detectionstrategies/DET0829#AN1961)*