# AN0564 — Analytic 0564 ## Descrição Este analítico detecta conexões HTTPS de saída suspeitas onde o Server Name Indication (SNI) do TLS não corresponde ao cabeçalho HTTP Host, indicando possível uso de domain fronting para mascarar tráfego de C2 por meio de CDNs. A telemetria utilizada inclui logs de inspeção TLS de proxies de rede, registros de DNS, capturas de pacotes com dissecção de metadados TLS e logs de firewall com visibilidade em SNI. Essa detecção é crítica porque o domain fronting permite que agentes de ameaça escondam servidores C2 reais atrás de domínios legítimos de grandes provedores de CDN, dificultando o bloqueio baseado em reputação de domínio. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1090-proxy|T1090 — Proxy]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1102-web-service|T1102 — Web Service]] --- *Fonte: [MITRE ATT&CK — AN0564](https://attack.mitre.org/detectionstrategies/DET0196#AN0564)*