# AN1997 — Analytic 1997 ## Descrição Este analítico detecta o uso adversário de infraestrutura de comunicação para entrega de phishing e estabelecimento de canais C2, combinando monitoramento de fluxos de rede incomuns com análise de tráfego de e-mail suspeito. A telemetria inclui dados de rede para identificar processos sem histórico de comunicação que iniciam conexões, análise de cabeçalhos de e-mail com filtros DKIM+SPF para detectar remetentes falsificados, e inspeção de pacotes para identificar protocolos que não seguem os padrões de fluxo esperados. O analítico é relevante pois a convergência de fluxos de rede anômalos com e-mails com remetentes falsificados pode indicar a fase inicial de uma campanha antes que o comprometimento efetivo ocorra. **Plataformas:** PRE --- ## Técnicas Relacionadas - [[t1566-phishing|T1566 — Phishing]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1598-phishing-for-information|T1598 — Phishing for Information]] --- *Fonte: [MITRE ATT&CK — AN1997](https://attack.mitre.org/detectionstrategies/DET0865#AN1997)*