# AN1124 — Analytic 1124 ## Descrição Detecta clientes emitindo consultas DNS com alto volume, comprimentos de subdomínio longos, padrões de payload codificados ou direcionadas a infraestrutura maliciosa conhecida, indicativo de canais de C2 baseados em DNS. A telemetria utilizada inclui logs de DNS de dispositivos de rede, registros de fluxo de tráfego e correlação com listas de inteligência de ameaças (threat intel feeds) para identificar domínios suspeitos. Esse analítico é crítico porque canais C2 via DNS exploram a ubiquidade do protocolo em ambientes corporativos, permitindo comunicação furtiva mesmo onde outros protocolos são bloqueados. **Plataformas:** Network Devices --- ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1102-web-service|T1102 — Web Service]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] --- *Fonte: [MITRE ATT&CK — AN1124](https://attack.mitre.org/detectionstrategies/DET0400#AN1124)*