# AN0110 — Analytic 0110 ## Descrição Monitora /var/log/audit/audit.log e logs do resolvedor DNS para lookups falhados repetidos ou conexões com domínios de alta entropia no Linux. A telemetria inclui logs do auditd para chamadas de sistema relacionadas a rede (connect, getaddrinfo), logs do resolvedor DNS (/etc/resolv.conf e nscd), e correlação da linhagem de processo com linguagens de scripting como Python, bash ou daemons de sistema incomuns que realizam as consultas. Este analítico é crítico para identificar comunicação C2 via DGA ou DNS tunneling em ambientes Linux, onde implantes como Penquin e módulos Turla utilizam consultas DNS para exfiltração e recebimento de comandos. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] --- *Fonte: [MITRE ATT&CK — AN0110](https://attack.mitre.org/detectionstrategies/DET0039#AN0110)*