# AN1982 — Analytic 1982 ## Descrição Este analítico combina múltiplas fontes de telemetria para detectar a aquisição adversária de capacidades — incluindo certificados SSL/TLS, ferramentas e malware — voltadas para uso em fases de Evasão de Defesa e Comando e Controle. A telemetria inclui logs de tráfego de rede com inspeção de cabeçalhos de protocolo, dados contextuais de payloads maliciosos como tempos de compilação e hashes, repositórios de malware para identificar amostras associadas ao adversário, e análise de características de ferramentas como watermarks do Cobalt Strike. O analítico é importante porque a convergência de certificados suspeitos, payloads com marcas d'água identificáveis e padrões de tráfego anômalo pode revelar a preparação de infraestrutura C2 antes do comprometimento ocorrer. **Plataformas:** PRE --- ## Técnicas Relacionadas - [[t1588-obtain-capabilities|T1588 — Obtain Capabilities]] - [[t1587-develop-capabilities|T1587 — Develop Capabilities]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] --- *Fonte: [MITRE ATT&CK — AN1982](https://attack.mitre.org/detectionstrategies/DET0850#AN1982)*