# AN1122 — Analytic 1122 ## Descrição Detecta daemons locais ou scripts gerando consultas DNS de saída com subdomínios longos ou de alta frequência, indicativos de tunelamento DNS por ferramentas como `iodine`, `dnscat2` ou `dig` executadas a partir de cronjobs ou reverse shells. A telemetria utilizada inclui logs de DNS do sistema, logs de rede e auditoria de processos via auditd ou syslog para correlacionar a origem das consultas suspeitas. Esse comportamento é crítico para detecção porque o tunelamento DNS pode contornar controles de egress tradicionais, usando o protocolo DNS como canal de exfiltração ou C2 encoberto. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1090-proxy|T1090 — Proxy]] --- *Fonte: [MITRE ATT&CK — AN1122](https://attack.mitre.org/detectionstrategies/DET0400#AN1122)*