# DC0085 — Network Traffic Content > [!info] Data Component MITRE ATT&CK > **ID:** DC0085 | **Fonte pai:** [[ds0029-network-traffic|DS0029 — Network Traffic]] | **Cobertura:** Captura completa de pacotes (PCAP) — headers + payload ## Descrição Network Traffic Content representa o nível mais profundo de visibilidade de rede: a captura completa de pacotes (*full packet capture* — PCAP), que inclui tanto os cabeçalhos de protocolo quanto o **conteúdo do payload**. Ao contrário do Network Traffic Flow (apenas metadados de sessão), este componente permite inspecionar o que realmente trafega no payload das comúnicações. Esta capacidade é fundamental para a inspeção profunda de protocolos (DPI — *Deep Packet Inspection*), decodificação de payloads ofuscados, análise forense de comúnicações C2 e identificação de técnicas de [[t1132-data-encoding|T1132-data-encoding]] (codificação Base64, XOR) e [[t1001-data-obfuscation|T1001-data-obfuscation]] usadas por adversários para disfarçar comúnicações maliciosas dentro de tráfego aparentemente legítimo. O custo desta telemetria é alto — armazenar PCAP completo exige capacidade de storage significativa — por isso é geralmente aplicada de forma seletiva: captura em perímetros específicos, em resposta a alertas ou via técnicas de *packet sampling*. Ferramentas como **Zeek**, **Suricata**, **Wireshark** e **tcpdump** são as principais fontes desta telemetria. Em contexto de investigação de incidentes no Brasil, análise de conteúdo de tráfego é essencial para identificar **exfiltração de dados** (LGPD), decodificar payloads de RATs bancários como [[s0531-grandoreiro]] e [[mekotio]], e reconstruir a cadeia de ataque completa. O setor [[financial]] e [[government]] são os principais alvos que se beneficiam desta visibilidade. ## Telemetria | Fonte | Log / Formato | Descrição | |-------|--------------|-----------| | tcpdump | **PCAP (.pcap)** | Captura bruta de pacotes — análise manual ou com IDS | | Wireshark / tshark | **PCAP + dissectors** | Decodificação de protocolos em tempo real ou offline | | Zeek (Bro) | **http.log, ssl.log, dns.log, files.log** | Logs estruturados extraídos do payload por protocolo | | Zeek | **extract_files** | Extração automática de arquivos transferidos | | Suricata | **eve.json (alert, http, dns, tls, files)** | Alertas baseados em assinaturas + metadados de payload | | Snort | **alert logs + unified2** | Alertas de assinaturas com referência ao payload | | Sysmon | **EID 22** — DNS Query | Consultas DNS realizadas por processo (conteúdo da query) | | Sysmon | **EID 3** — Network Connection | Contexto de processo para correlação com PCAP | | AWS GuardDuty | **DNS findings** | Análise de conteúdo de consultas DNS em VPCs | | Azure Network Watcher | **Packet Capture** | Captura PCAP programática em VMs Azure | | Google Chronicle | **Tráfego analisado** | DPI em tráfego capturado pelo agente Chronicle | | AuditD (Linux) | **syscall=connect + read/write** | Dados enviados/recebidos via socket (verboso) | ## Queries de Detecção ### KQL — Microsoft Sentinel: DNS Query para Domínios Suspeitos (Sysmon EID 22) ```kql Event | where Source == "Microsoft-Windows-Sysmon" and EventID == 22 | parse EventData with * "<Data Name='QueryName'>" DnsQuery "</Data>" * | parse EventData with * "<Data Name='Image'>" Process "</Data>" * | where DnsQuery matches regex @"[a-z0-9]{15,}\.(tk|ml|ga|cf|gq|top|xyz|pw)" or DnsQuery contains ".onion" or strlen(DnsQuery) > 60 | project TimeGenerated, Computer, Process, DnsQuery | order by TimeGenerated desc ``` ### KQL — Sentinel: Detecção de Encoding Base64 em HTTP User-Agent ```kql CommonSecurityLog | where DeviceVendor in ("Suricata","Zeek","Fortinet","Palo Alto Networks") | where RequestURL has_any ("base64","%2F", "cmd=", "exec=", "eval=") or UserAgent matches regex @"[A-Za-z0-9+/]{50,}={0,2}" | project TimeGenerated, SourceIP, DestinationIP, RequestURL, UserAgent | order by TimeGenerated desc ``` ### SPL — Splunk: Zeek HTTP — Uploads para Destinos Incomuns (Exfiltração) ```spl index=zeek sourcetype=bro:http:json method="POST" NOT uri IN ("/api/*","/upload/*","/submit*") | eval mb_sent=round(request_body_len/1048576,2) | where mb_sent > 5 | stats sum(mb_sent) as total_mb, count as requests by src_ip, dest_ip, uri, host, _time | where total_mb > 50 | sort - total_mb ``` ### SPL — Splunk: Suricata — Alertas de C2 Conhecidos (ET Rules) ```spl index=suricata sourcetype=suricata alert.category IN ("Trojan Activity","A Network Trojan was detected", "Malware Command and Control Activity Detected") | stats count by alert.signature, src_ip, dest_ip, dest_port, _time | sort - count | table _time, alert.signature, src_ip, dest_ip, dest_port, count ``` ## Técnicas Relacionadas | Técnica | Nome | Relevância | |---------|------|-----------| | [[t1071-application-layer-protocol\|T1071-application-layer-protocol]] | Application Layer Protocol | Inspecionar payload HTTP/HTTPS/DNS para padrões C2 | | [[t1132-data-encoding\|T1132-data-encoding]] | Data Encoding | Base64, XOR no payload identificados por análise de conteúdo | | [[t1001-data-obfuscation\|T1001-data-obfuscation]] | Data Obfuscation | Esteganografia e ofuscação de payload detectadas via DPI | | [[t1048-exfiltration-over-alternative-protocol\|T1048-exfiltration-over-alternative-protocol]] | Exfiltration Over Alternative Protocol | Dados exfiltrados em protocolos DNS/ICMP visíveis no payload | | [[t1219-remote-access-tools]] | Remote Access Software | Tráfego de ferramentas RAT decodificado por análise de conteúdo | ## Contexto LATAM > [!warning] Relevância para Brasil e América Latina > A análise de conteúdo de tráfego (PCAP/DPI) é a principal ferramenta para identificar o padrão de comunicação de **RATs bancários brasileiros**. Malwares como **Grandoreiro**, **Mekotio** e **Guildma** utilizam protocolos customizados ou HTTP com encoding proprietário — detectáveis apenas via análise de payload. > > Regulamentações brasileiras (LGPD, Resolução CMN 4.893 para bancos) exigem capacidade de detectar e evidênciar exfiltração de dados. PCAP é a evidência mais robusta para notificação de incidentes à ANPD. SOCs de [[financial|instituições financeiras]] brasileiras devem manter capacidade de captura seletiva de PCAP por no mínimo 90 dias para os segmentos mais críticos. ## Referências - [MITRE ATT&CK — DC0085 Network Traffic Content](https://attack.mitre.org/datacomponents/DC0085) - [Zeek Network Security Monitor](https://zeek.org/) - [Suricata IDS/IPS](https://suricata.io/) - [[ds0029-network-traffic|DS0029 — Network Traffic]] - [[dc0078-network-traffic-flow|DC0078 — Network Traffic Flow]] - [[_defenses|Hub de Defesas]] - [[_data-sources|Índice de Data Sources]]