# AN1178 — Analytic 1178 ## Descrição Correlaciona consultas DNS que geram domínios com alta entropia ou padrões sem sentido (gibberish), combinados com conexões de curta duração de processos incomuns, monitorando eventos DNS do Sysmon e logs de segurança do Windows para taxas anômalas de consulta e falhas de resolução excessivas. A telemetria inclui Sysmon Event ID 22 (DNS Query), logs de resolução DNS do sistema e monitoramento de processos para identificar algoritmos de geração de domínio (DGA) usados por malware de C2. Esse analítico é um detector eficaz de famílias de malware avançadas que usam DGA para comunicação resiliente com infraestrutura C2, dificultando o bloqueio baseado em listas negras de domínios. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1095-non-application-layer-protocol|T1095 — Non-Application Layer Protocol]] - [[t1090-proxy|T1090 — Proxy]] --- *Fonte: [MITRE ATT&CK — AN1178](https://attack.mitre.org/detectionstrategies/DET0419#AN1178)*