# AN2031 — Analytic 2031 ## Descrição Este analítico detecta requisições HTTP outbound com cabeçalhos User-Agent inconsistentes ou falsificados originados de ferramentas de linha de comando Linux (como `curl`, `wget` ou `python requests`) executadas a partir de shells interativos ou jobs agendados fora do comportamento normal de sessão de usuário. A telemetria inclui logs de tráfego de rede para correlacionar processos de linha de comando com User-Agents que imitam navegadores, logs de auditoria do sistema para rastrear a execução de comandos em contextos incomuns (como cron jobs executando curl com User-Agents de navegador) e comparação com baselines de User-Agent conhecidos do ambiente. O analítico é relevante porque scripts maliciosos em Linux frequentemente falsificam User-Agents para que chamadas de callback C2 pareçam tráfego de navegador legítimo, contornando filtros de proxy baseados em User-Agent. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] --- *Fonte: [MITRE ATT&CK — AN2031](https://attack.mitre.org/detectionstrategies/DET0898#AN2031)*