# DC0005 - Network Traffic Content ## Descrição Network Traffic Content captura e inspeciona o conteúdo (payload) das comúnicações de rede, indo além dos metadados de flow para analisar o que está sendo transmitido. Inclui inspeção profunda de pacotes (DPI), análise de protocolo e detecção de padrões em HTTP, DNS, SMTP e outros protocolos. É fundamental para detectar C2 sobre HTTP/HTTPS, exfiltração codificada, uso de protocolos não padrão e tráfego malicioso disfarçado de comunicação legítima. ### Pipeline de Detecção ```mermaid graph TB A["📥 Fonte de Dados<br/>PCAP / DPI / IDS<br/>Zeek http.log / dns.log"] --> B["🔄 Coleta<br/>Suricata / Zeek<br/>NGFW SSL Inspection"] B --> C["📊 Análise de Payload<br/>JA3 fingerprints, User-Agent,<br/>DNS subdomain length"] C --> D["🔍 Correlação<br/>Sigma rules, Suricata rules,<br/>Threat Intel IOC match"] D --> E["⚠️ Detecção<br/>C2 beacon, DNS tunnel,<br/>malicious TLS"] E --> F["🚨 Alerta<br/>SOC Tier 2 - Deep Analysis"] F --> G["📋 Resposta<br/>Captura PCAP +<br/>Bloqueio + Forense"] classDef source fill:#3498db,stroke:#2c3e50,color:#ecf0f1 classDef process fill:#2ecc71,stroke:#2c3e50,color:#ecf0f1 classDef alert fill:#e74c3c,stroke:#2c3e50,color:#ecf0f1 class A source class B,C,D process class E,F,G alert ``` ## Fonte de Dados Parent: [[ds0029-network-traffic|DS0029 - Network Traffic]] ## O Que Monitorar - User-agents HTTP incomuns ou hardcoded (associados a ferramentas ofensivas) - Requests DNS com subdominios longos ou encodados (DNS tunneling) - Payloads HTTP com conteudo Base64 ou outros encodings em campos incomuns - Certificados TLS autoassinados ou com SNI suspeitos - JA3/JA3S fingerprints associados a malware conhecido - Conteudo SMTP com anexos executaveis ou links de phishing - Respostas HTTP com shellcode ou scripts ofuscados ## Técnicas Detectadas | Técnica | ID | Como Detectar | |---------|-----|---------------| | Application Layer Protocol | [[t1071-application-layer-protocol\|T1071]] | Inspeção de User-Agent e headers HTTP suspeitos | | Active Scanning | [[t1595-active-scanning\|T1595]] | Conteúdo de payloads de scanner (banners, probes) | | Data Encoding | [[t1132-data-encoding\|T1132]] | Payloads Base64/hex em campos de formulário ou DNS | | Exfiltration Over Alternative Protocol | [[t1048-exfiltration-over-alternative-protocol\|T1048]] | Dados sensíveis em queries DNS ou campos ICMP | | Encrypted Channel | [[t1573-encrypted-channel\|T1573]] | TLS com JA3 hash de ferramentas C2 (Cobalt Strike, Metasploit) | ## Implementação **NGFW com SSL Inspection:** Palo Alto Networks, Fortinet FortiGate, CheckPoint com SSL/TLS deep inspection habilitado. **IDS/IPS (Suricata/Snort):** ``` # Regra para detectar Cobalt Strike beacon padrao alert http any any -> any any (msg:"CobaltStrike Default Beacon"; content:"X-Malware-Bypass"; http_header; sid:9000001;) ``` **Zeek para extração de conteúdo:** ```zeek # http.log captura URI, host, user_agent, request_body_len # dns.log captura queries, respostas e TTLs suspeitos ``` **Ferramentas:** Suricata, Zeek/Bro, Palo Alto NGFW, Vectra NDR, Darktrace, Cisco Secure IDS, Security Onion. ## Detecção KQL (Microsoft Sentinel / Defender) ```kql // DNS tunneling - subdomínios longos indicando exfiltração DnsEvents | extend SubdomainLength = strlen(tostring(split(Name, ".")[0])) | where SubdomainLength > 40 | project TimeGenerated, ClientIP, Name, SubdomainLength, QueryType | order by SubdomainLength desc ``` ```kql // JA3 hash de ferramentas C2 conhecidas DeviceNetworkEvents | where ActionType == "ConnectionSuccess" | where AdditionalFields has "ja3" | extend JA3 = tostring(parse_json(AdditionalFields).ja3) | where JA3 in ("72a589da586844d7f0818ce684948eea", "a0e9f5d64349fb13191bc781f81f42e1") | project Timestamp, DeviceName, RemoteIP, RemotePort, JA3 ``` ## Contexto LATAM > [!latam] Relevância Regional > A inspeção de conteúdo de rede (DPI) enfrenta desafios significativos no Brasil devido à Lei Geral de Proteção de Dados (LGPD), que impõe restrições à interceptação de tráfego. SOCs brasileiros mais maduros utilizam SSL inspection com cuidado jurídico, enquanto a maioria se limita a análise de metadados. Suricata é amplamente adotado pela comunidade open-source brasileira, especialmente em ISPs e universidades. > - Adoção em SOCs brasileiros: **baixo** > - Ferramentas comuns: Suricata (preferido em ambientes open-source), Security Onion, Fortinet FortiGate com DPI, Palo Alto NGFW > - Desafios: compliance com LGPD limita SSL inspection em muitas organizações; alto custo de NDR comercial (Darktrace, Vectra) para o mercado brasileiro; falta de profissionais com expertise em análise de PCAP e protocolos