# AN2028 — Analytic 2028 ## Descrição Este analítico detecta o uso adversário de serviços web legítimos como infraestrutura para Comando e Controle e exfiltração de dados, buscando características únicas associadas ao software adversário instalado nesses serviços. A telemetria inclui monitoramento de tráfego de rede para comúnicações com plataformas de Web Service como GitHub, Pastebin ou redes sociais usadas como canais C2 encobertos, análise de payloads transmitidos por esses canais e correlação de padrões de comunicação com comportamento de C2 conhecido. O analítico é relevante porque o uso de serviços web legítimos como canais C2 — também chamado de living-off-the-web — dificulta significativamente a detecção por controles baseados em reputação ou bloqueio de IP. **Plataformas:** PRE --- ## Técnicas Relacionadas - [[t1102-web-service|T1102 — Web Service]] - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1583-acquire-infrastructure|T1583 — Acquire Infrastructure]] --- *Fonte: [MITRE ATT&CK — AN2028](https://attack.mitre.org/detectionstrategies/DET0896#AN2028)*