# AN1332 — Analytic 1332 ## Descrição Monitora logs do resolver DNS e eventos do auditd para domínios que resolvem para um conjunto rotativo de IPs em intervalos de TTL muito curtos. Correlaciona altas taxas de consulta de aplicações não-browser (como `python` ou `curl`) para identificar clientes de C2 que utilizam fast flux DNS. A telemetria inclui logs de `/var/log/syslog`, saídas do `dnsmasq` ou `systemd-resolved`, eventos de auditd para chamadas de sistema de rede e monitoramento de processos que realizam consultas DNS incomuns por frequência e padrão. Esta detecção identifica ferramentas de C2 em Linux que utilizam domínios de fast flux para manter resiliência da infraestrutura de comando e controle mesmo sob pressão de takedown ou bloqueio de IPs. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1568-001-fast-flux-dns|T1568.001 — Fast Flux DNS]] - [[t1071-004-dns|T1071.004 — DNS]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] --- *Fonte: [MITRE ATT&CK — AN1332](https://attack.mitre.org/detectionstrategies/DET0485#AN1332)*