# AN0109 — Analytic 0109 ## Descrição Detecta atividade de consulta DNS de alta frequência ou anômala por processos que normalmente não geram requisições de rede (aplicações Office, utilitários do sistema), incluindo lookups de domínios com alta entropia indicativos de algoritmos de geração de domínio (DGA). A telemetria inclui logs de DNS do Windows (Event ID 3008), dados do Sysmon para conexões de rede (Event ID 22), e análise de entropia de domínio consultado correlacionada com linhagem de processo. Este analítico é fundamental para detectar malware que utiliza DGA para manter resiliência no C2, como as famílias Emotet, Qakbot e Dridex que afetam amplamente organizações financeiras no Brasil. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1102-web-service|T1102 — Web Service]] --- *Fonte: [MITRE ATT&CK — AN0109](https://attack.mitre.org/detectionstrategies/DET0039#AN0109)*