# AN2023 — Analytic 2023 ## Descrição Este analítico detecta o comprometimento adversário de servidores DNS de terceiros para uso em operações de Comando e Controle, monitorando dados DNS registrados e consultados para identificar servidores DNS de terceiros comprometidos. A telemetria inclui logs DNS para detectar resoluções originadas de ou direcionadas a servidores DNS externos com comportamento incomum, análise de respostas DNS que não seguem os padrões esperados de TTL ou endereçamento, e correlação com inteligência de ameaças sobre servidores DNS comprometidos em campanhas ativas. O analítico é relevante porque servidores DNS comprometidos permitem ao adversário manipular a resolução de nomes para redirecionar tráfego legítimo para infraestrutura maliciosa, dificultando a detecção por filtros DNS corporativos. **Plataformas:** PRE --- ## Técnicas Relacionadas - [[t1584-compromise-infrastructure|T1584 — Compromise Infrastructure]] - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1590-gather-victim-network-information|T1590 — Gather Victim Network Information]] --- *Fonte: [MITRE ATT&CK — AN2023](https://attack.mitre.org/detectionstrategies/DET0891#AN2023)*