# AN1121 — Analytic 1121 ## Descrição Este analítico detecta consultas DNS de alta frequência ou anômalas iniciadas por processos que não são navegadores ou processos de sistema (como PowerShell, `rundll32`, `python.exe`), usadas para estabelecer comando e controle via tunneling DNS. Utiliza telemetria de logs DNS, Sysmon (Event ID 22 — consulta DNS) e análise de padrões de consulta para identificar tráfego DNS incomum em volume ou entropia. A detecção é fundamental para identificar C2 via DNS tunneling, uma técnica avançada usada por APTs para contornar inspeção de tráfego HTTP/HTTPS, pois consultas DNS raramente são bloqueadas em firewalls corporativos. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1071.004-dns|T1071.004 — DNS]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1121](https://attack.mitre.org/detectionstrategies/DET0400#AN1121)*