# AN1148 — Analytic 1148 ## Descrição Monitora consultas DNS, logs de proxy e strings de user-agent para padrões anômalos associados a tentativas adversariais de ocultar infraestrutura, incluindo resoluções para domínios de vida curta, dados WHOIS de registro anômalos ou filtragem de endereços IP de respondentes defensivos. A telemetria inclui logs de DNS resolvers, proxies web, dados de reputação de domínio e threat intel feeds para identificar infraestrutura de C2 que tenta se camuflar como tráfego legítimo. A detecção de evasão de infraestrutura é crítica porque adversários sofisticados investem significativamente em técnicas de ocultamento para prolongar o tempo de permanência na rede. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1583-acquire-infrastructure|T1583 — Acquire Infrastructure]] - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1090-proxy|T1090 — Proxy]] --- *Fonte: [MITRE ATT&CK — AN1148](https://attack.mitre.org/detectionstrategies/DET0411#AN1148)*