# AN2017 — Analytic 2017 ## Descrição Este analítico detecta a aquisição adversária de infraestrutura comprometida de terceiros para uso em operações de Comando e Controle, combinando varreduras proativas de Internet com monitoramento de DNS para identificar servidores e domínios comprometidos. A telemetria inclui dados de escaneamento de Internet para descobrir infraestrutura com padrões C2 identificáveis, registros DNS consultados e registrados para monitorar mudanças anômalas em domínios e resolução de DNS, e dados de serviços em escuta e certificados para correlacionar com ferramentas adversárias conhecidas. O analítico é importante porque o comprometimento de infraestrutura de terceiros permite ao adversário operar em endereços IP e domínios com reputação legítima, dificultando a detecção por filtros tradicionais. **Plataformas:** PRE --- ## Técnicas Relacionadas - [[t1584-compromise-infrastructure|T1584 — Compromise Infrastructure]] - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1590-gather-victim-network-information|T1590 — Gather Victim Network Information]] --- *Fonte: [MITRE ATT&CK — AN2017](https://attack.mitre.org/detectionstrategies/DET0885#AN2017)*