# AN1179 — Analytic 1179 ## Descrição Identifica processos emitindo consultas DNS repetidas para domínios de aparência aleatória com entropia anômala ou concatenações de palavras, correlacionando logs de resolver com altas taxas de NXDOMAIN e conexões de socket do auditd. A telemetria inclui logs de DNS resolver do sistema (dnsmasq, systemd-resolved), auditd para rastreamento de syscalls de socket e monitoramento de processos para correlacionar a origem das consultas DGA com atividade de rede suspeita. Algoritmos de geração de domínio são uma característica comum de malware moderno em Linux para garantir resiliência de comunicação C2, sendo esse analítico um componente essencial de defesa em profundidade em servidores Linux. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1095-non-application-layer-protocol|T1095 — Non-Application Layer Protocol]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1179](https://attack.mitre.org/detectionstrategies/DET0419#AN1179)*