# AN2006 — Analytic 2006 ## Descrição Este analítico detecta o uso adversário de servidores comprometidos como plataformas de Comando e Controle, utilizando varreduras de Internet para identificar impressões digitais únicas do software C2 instalado nesses servidores comprometidos por terceiros. A telemetria inclui dados de escaneamento de Internet para descobrir servidores com serviços em escuta em portas características, certificados SSL/TLS com configurações padrão associadas a ferramentas adversárias, padrões de negociação TLS anômalos e outros artefatos de resposta vinculados a frameworks C2 específicos. O analítico é importante porque adversários frequentemente comprometem servidores legítimos de terceiros para ocultar a origem real das operações C2, dificultando a atribuição e a resposta. **Plataformas:** PRE --- ## Técnicas Relacionadas - [[t1584-compromise-infrastructure|T1584 — Compromise Infrastructure]] - [[t1583-acquire-infrastructure|T1583 — Acquire Infrastructure]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1090-proxy|T1090 — Proxy]] --- *Fonte: [MITRE ATT&CK — AN2006](https://attack.mitre.org/detectionstrategies/DET0874#AN2006)*