# DarkHydrus > Tipo: **backdoor** · S0235 · [MITRE ATT&CK](https://attack.mitre.org/software/S0235) ## Descrição [[g0079-darkhydrus|DarkHydrus]] (também chamado de RogueRobin quando referênciado como ferramenta, distinto do grupo homônimo) é um backdoor notável pela sua utilização de DNS como canal primário de comunicação com o servidor de comando e controle. Identificado pela Palo Alto Networks Unit 42 em campanhas de 2018 contra organizações governamentais no Oriente Médio, o [[g0079-darkhydrus|DarkHydrus]] é atribuído ao grupo homônimo que opera com interesse em alvos da região MENA (Middle East and North Africa). A característica técnica distintiva do [[g0079-darkhydrus|DarkHydrus]] é o uso de DNS tunneling para comunicação C2: o malware codifica dados em requisições DNS TXT para subdomínios de domínios controlados pelos atacantes, recebendo comandos nas respostas DNS. Essa técnica é eficaz em ambientes onde o tráfego web é monitorado mas o DNS não, pois muitas organizações permitem consultas DNS sem inspeção de conteúdo. O malware também utiliza PowerShell para execução de comandos e pode baixar ferramentas adicionais conforme necessário. O [[g0079-darkhydrus|DarkHydrus]] é distribuído via documentos Office maliciosos com macros ou exploits, frequentemente entregues por spear-phishing. A técnica de exfiltração via DNS é especialmente furtiva pois gera tráfego que muitas soluções de segurança não inspecionam - consultas DNS para subdomínios legítimos de aspecto normal mas contendo dados codificados nos nomes de subdomínio. Essa abordagem representa uma classe de evasão importante que analistas de segurança devem estar preparados para detectar. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1071-004-dns|T1071.004 - DNS]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] ## Detecção - Monitorar volumes anômalos de consultas DNS TXT - especialmente para subdomínios com strings codificadas em Base64 ([[t1071-004-dns|T1071.004]]) - Implementar análise de DNS logging para detectar tunneling baseado em frequência e padrão de consultas - Detectar execuções de PowerShell com comandos de download e decodificação de dados ([[t1059-001-powershell|T1059.001]]) - Alertar sobre documentos Office iniciando processos PowerShell via macros ([[t1566-001-spearphishing-attachment|T1566.001]]) - Usar ferramentas como DNScat2 detection signatures como referência para detectar padrões similares ## Relevância LATAM/Brasil A técnica de DNS tunneling utilizada pelo [[g0079-darkhydrus|DarkHydrus]] é relevante para qualquer contexto, pois muitas organizações brasileiras carecem de monitoramento de DNS como vetor de exfiltração. Grupos regionais brasileiros e internacionais com interesse em alvos no Brasil podem adotar técnicas similares, dado que DNS geralmente não é inspecionado. A lição operacional do DarkHydrus para equipes de segurança brasileiras é clara: DNS deve ser tratado como canal potencial de exfiltração e incluído no escopo do monitoramento de segurança, além de implementar DNS over HTTPS/TLS com inspeção quando possível. ## Referências - [MITRE ATT&CK - S0235](https://attack.mitre.org/software/S0235) - [Unit 42 - DarkHydrus Analysis](https://unit42.paloaltonetworks.com/darkhydrus-delivers-new-trojan-that-can-use-google-drive-for-c2/)