# AN1970 — Analytic 1970 ## Descrição Esta analítica detecta servidores VPS provisionados por adversários para uso como infraestrutura de Comando e Controle, identificáveis via scans de internet que revelam servidores com características de C2 — serviços em escuta, certificados em uso, features de negociação SSL/TLS ou artefatos de resposta associados a software C2 adversarial — sendo que a detecção direta do C2 em uso ocorre na fase de Command and Control. A telemetria inclui dados de scanners de internet (Shodan/Censys) correlacionados com assinaturas de frameworks C2 conhecidos (Cobalt Strike, Metasploit, Havoc), passive DNS para rastreamento de mudanças de IP de domínios C2 e feeds de threat intelligence sobre VPS ranges utilizados por grupos adversariais. Esta analítica é de alto valor para equipes de CTI que monitoram infraestrutura adversarial e podem neutralizar servidores C2 antes de campanhas ativas. **Plataformas:** PRE --- ## Técnicas Relacionadas - [[t1583-acquire-infrastructure|T1583 — Acquire Infrastructure]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1090-proxy|T1090 — Proxy]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] --- *Fonte: [MITRE ATT&CK — AN1970](https://attack.mitre.org/detectionstrategies/DET0838#AN1970)*