# DNSpionage > Tipo: **backdoor** · S0352 · [MITRE ATT&CK](https://attack.mitre.org/software/S0352) ## Descrição [[s0352-dnspionage|DNSpionage]] é um backdoor utilizado pelo grupo [[g0049-oilrig|OilRig]] (APT34), grupo de espionagem cibernética associado ao Irã, em campanhas documentadas em 2018 e 2019. Identificado pela Cisco Talos em novembro de 2018, o [[s0352-dnspionage|DNSpionage]] é notável pelo uso de DNS como canal de comunicação C2 - característica que lhe dá o nome e que o torna particularmente furtivo em ambientes onde o tráfego web é monitorado mas o DNS não. O malware foi utilizado em conjunto com campanhas de sequestro de DNS (DNS hijacking) de alto perfil que comprometeram a infraestrutura DNS de múltiplas organizações no Oriente Médio. O [[s0352-dnspionage|DNSpionage]] suporta dois modos de comunicação C2: via HTTP e via DNS (usando registros TXT e CNAME para codificar dados). No modo DNS, o malware envia dados em requisições DNS para subdomínios de domínios controlados pelos atacantes, recebendo comandos nas respostas DNS. Essa técnica é particularmente eficaz pois o tráfego DNS geralmente não é inspecionado por soluções de segurança tradicionais. O backdoor também suporta execução de comandos via Windows Command Shell e download de ferramentas adicionais. O contexto operacional do [[s0352-dnspionage|DNSpionage]] é especialmente relevante: foi utilizado em conjunto com campanhas de DNS hijacking que redirecionavam tráfego legítimo de organizações governamentais, telecomúnicações e internet para infraestrutura controlada pelo [[g0049-oilrig|OilRig]], permitindo interceptação massiva de credenciais e dados em trânsito. Essa combinação de comprometimento de infraestrutura DNS com implantes backdoor representa uma das operações de espionagem de maior escala e impacto documentadas do grupo iraniano. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1071-004-dns|T1071.004 - DNS]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] ## Grupos que Usam - [[g0049-oilrig|OilRig]] ## Detecção - Monitorar volume e padrão de consultas DNS TXT - alto volume de queries TXT para subdomínios é indicador de C2 via DNS ([[t1071-004-dns|T1071.004]]) - Implementar análise de DNS logging com detecção de anomalias de frequência e comprimento de subdomínios - Detectar tráfego HTTP com User-Agents ou padrões incomuns para servidores externos desconhecidos ([[t1071-001-web-protocols|T1071.001]]) - Monitorar modificações não autorizadas em registros DNS da organização - vetor de DNS hijacking - Alertar sobre downloads de executáveis via HTTP iniciados por processos do sistema ([[t1105-ingress-tool-transfer|T1105]]) ## Relevância LATAM/Brasil O [[g0049-oilrig|OilRig]] tem interesse primário em alvos do Oriente Médio, mas a técnica de DNS tunneling do [[s0352-dnspionage|DNSpionage]] é amplamente replicável e adotada por outros grupos. Para o Brasil, a relevância é dupla: organizações governamentais brasileiras com relacionamento com o Irã podem ser alvos de interesse, e as técnicas de DNS como C2 são empregadas por múltiplos grupos com interesse no Brasil. O monitoramento de DNS como vetor de exfiltração é especialmente subutilizado no Brasil - equipes SOC devem implementar DNS logging e análise de anomalias em suas plataformas de detecção. ## Referências - [MITRE ATT&CK - S0352](https://attack.mitre.org/software/S0352) - [Cisco Talos - DNSpionage Analysis](https://blog.talosintelligence.com/2018/11/dnspionage-campaign-targets-middle-east.html)