# AN1331 — Analytic 1331 ## Descrição Identifica resoluções DNS repetidas onde o mesmo nome de domínio retorna múltiplos IPs em rápida sucessão, combinadas com valores TTL baixos e alto volume de consultas a partir de processos incomuns. Correlaciona com linhagem de processo (como aplicativos Office gerando consultas DNS anômalas) para identificar padrões de fast flux utilizados em infraestrutura de C2. A telemetria inclui logs de DNS do Windows (Event ID 22 do Sysmon), logs do servidor DNS interno e monitoramento de consultas por processo via EDR. Esta detecção é importante para identificar infraestrutura de fast flux DNS utilizada por botnets e grupos APT para tornar seus servidores C2 resistentes a takedown, alternando rapidamente entre múltiplos IPs para o mesmo domínio. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1568-001-fast-flux-dns|T1568.001 — Fast Flux DNS]] - [[t1071-004-dns|T1071.004 — DNS]] - [[t1571-non-standard-port|T1571 — Non-Standard Port]] --- *Fonte: [MITRE ATT&CK — AN1331](https://attack.mitre.org/detectionstrategies/DET0485#AN1331)*