# AN1995 — Analytic 1995 ## Descrição Este analítico detecta o sequestro de domínios e subdomínios por adversários para uso em infraestrutura de Comando e Controle, monitorando anomalias em registros DNS que possam indicar comprometimento ou hijacking. A telemetria inclui dados de DNS registrados e consultados para identificar endereços IP de subdomínios anômalos (como os originários de um país diferente do domínio raiz), monitoramento de mudanças em informações de registrantes de domínios e correlação com resolução DNS para detectar redirecionamentos suspeitos. O analítico é crítico porque o hijacking de DNS permite a adversários abusar da reputação de domínios legítimos para contornar filtros de reputação e estabelecer canais C2 confiáveis. **Plataformas:** PRE --- ## Técnicas Relacionadas - [[t1584-compromise-infrastructure|T1584 — Compromise Infrastructure]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1590-gather-victim-network-information|T1590 — Gather Victim Network Information]] --- *Fonte: [MITRE ATT&CK — AN1995](https://attack.mitre.org/detectionstrategies/DET0863#AN1995)*