dc0096-passive-dns

# DC0096 — Passive DNS > [!info] Data Component MITRE ATT&CK > **ID:** DC0096 | **Fonte pai:** [[ds0029-network-traffic|DS0029 — Network Traffic]] | **Cobertura:** Histórico de resoluções DNS — domínio → IP ao longo do tempo ## Descrição Passive DNS captura e armazena registros históricos de resoluções DNS — mapeamentos entre nomes de domínio e endereços IP observados ao longo do tempo. Diferente do DNS ativo (consulta em tempo real), o Passive DNS funciona como um *repositório histórico* de todas as resoluções observadas por sensores distribuídos na internet, permitindo rastrear a evolução da infraestrutura de adversários. Esta telemetria é especialmente poderosa para análise de atribuição e inteligência de ameaças. Ao consultar o histórico de um domínio malicioso, analistas podem descobrir quais outros domínios compartilharam o mesmo IP (pivotamento por IP), identificar padrões de infraestrutura de um grupo específico e correlacionar campanhas que pareciam independentes mas utilizavam a mesma hospedagem. Técnicas como [[t1568-dynamic-resolution|T1568-dynamic-resolution]] (*Fast Flux DNS* e *Domain Generation Algorithms — DGA*) são especialmente detectáveis via Passive DNS: domínios com curta vida útil (TTL baixo), frequente troca de IPs ou padrão de resolução para IPs de ranges conhecidamente maliciosos são assinaturas características. Grupos como [[g0032-lazarus-group]], [[g0016-apt29]] e infraestruturas de ransomware utilizam estas técnicas para dificultar o bloqueio de seus servidores C2. No contexto de threat intelligence, plataformas como **RiskIQ/Microsoft Defender TI**, **Farsight DNSDB**, **VirusTotal** e **PassiveDNS.com** são as fontes primárias de dados Passive DNS. Para equipes de CTI no Brasil, a análise de infraestrutura DNS é essencial para rastrear campanhas de phishing direcionadas ao setor [[financial]] e monitorar domínios typosquatting de marcas brasileiras. ## Telemetria | Fonte | Cobertura | Notas | |-------|-----------|-------| | **Farsight DNSDB** | Histórico global desde 2010 | Maior base de dados Passive DNS — API paga | | **RiskIQ PassiveTotal / MDTI** | Histórico + WHOIS + certificados TLS | Integrado ao Microsoft Defender TI | | **VirusTotal** | Resoluções + context de ameaças | Gratuito com limites; API key para volume | | **PassiveDNS.com** | Resoluções históricas globais | Open-source; cobertura menor | | **OTX AlienVault** | Pulses com registros DNS | Feeds de inteligência com DNS correlacionado | | **Shodan** | DNS + banners de serviços | Varredura ativa correlacionada com DNS | | **Zeek (dns.log)** | Resoluções locais observadas | Passive DNS interno — rede corporativa | | **AWS Route 53 Query Logs** | Resoluções em VPCs AWS | Logs de DNS para domínios em Route 53 | | **Azure DNS Analytics** | Resoluções em redes Azure | Via Log Analytics Workspace | | **Pi-hole / Infoblox** | DNS corporativo interno | Resolução interna com registro histórico | ## Queries de Detecção ### KQL — Microsoft Sentinel: Domínios com Alta Entropia (DGA) em DNS Logs ```kql DnsEvents | where TimeGenerated > ago(24h) | extend DomainParts = split(Name, ".") | extend Subdomain = tostring(DomainParts[0]) | extend EntropyScore = log2(toreal(countof(Subdomain,"a") + countof(Subdomain,"e") + countof(Subdomain,"i") + countof(Subdomain,"o") + countof(Subdomain,"u") + 1)) | where strlen(Subdomain) > 12 and EntropyScore < 1.5 // poucos vogais = alta entropia = possível DGA | summarize QueryCount = count(), ClientIPs = make_set(ClientIP) by Name, Subdomain | where QueryCount > 5 | order by QueryCount desc ``` ### KQL — Sentinel: Resolução de Domínio Recém-Registrado (< 30 dias) ```kql // Requer enriquecimento TI com campo de data de registro DnsEvents | join kind=leftouter ( ThreatIntelligenceIndicator | where TimeGenerated > ago(7d) | where isnotempty(DomainName) | project DomainName, CreatedTimeUtc, ConfidenceScore ) on $left.Name == $right.DomainName | where isnotempty(CreatedTimeUtc) and datetime_diff("day", now(), CreatedTimeUtc) < 30 | project TimeGenerated, ClientIP, Name, CreatedTimeUtc, ConfidenceScore | order by TimeGenerated desc ``` ### SPL — Splunk: Fast Flux DNS — Domínio com Muitos IPs Distintos ```spl index=dns sourcetype=zeek:dns | stats dc(answers) as unique_ips, values(answers) as ip_list, count as queries by query | where unique_ips > 10 AND queries > 50 | eval alert="Possível Fast Flux DNS" | table query, unique_ips, queries, ip_list, alert | sort - unique_ips ``` ### SPL — Splunk: DNS para TLDs Suspeitos (Malware e Phishing) ```spl index=dns sourcetype=zeek:dns | rex field=query "\.(?<tld>[^.]+)quot; | where tld IN ("tk","ml","ga","cf","gq","top","pw","xyz","cc","su","ru","cn") | stats count as queries, dc(src_ip) as clients by query, tld | where queries > 3 | sort - queries ``` ## Técnicas Relacionadas | Técnica | Nome | Relevância | |---------|------|-----------| | [[t1583-acquire-infrastructure\|T1583-acquire-infrastructure]] | Acquire Infrastructure | Rastrear domínios registrados por adversários via histórico DNS | | [[t1568-dynamic-resolution\|T1568-dynamic-resolution]] | Dynamic Resolution | DGA e Fast Flux detectáveis em padrões históricos de resolução | | [[T1071.004-application-layer-protocol-dns]] | Application Layer Protocol: DNS | C2 via DNS identificado por análise de resoluções frequentes | | [[t1584-compromise-infrastructure\|T1584-compromise-infrastructure]] | Compromise Infrastructure | Domínios legítimos comprometidos — mudança súbita de IP no histórico | | [[t1008-fallback-channels\|T1008-fallback-channels]] | Fallback Channels | Domínios de backup C2 identificados via clustering de infraestrutura | ## Contexto LATAM > [!warning] Relevância para Brasil e América Latina > Passive DNS é uma das ferramentas mais poderosas para rastrear infraestrutura de **phishing bancário** no Brasil. Campanhas que imitam bancos como Itaú, Bradesco, Caixa e Nubank registram centenas de domínios typosquatting — rastreáveis via Passive DNS por compartilhamento de IP ou padrão de nomenclatura. > > Equipes de CTI brasileiras devem monitorar: domínios com sufixos `.com.br` falsos, resoluções para IPs de provedores de hospedagem brasileiros conhecidamente abusados (HostGator BR, Locaweb) e domínios de curta vida útil usados em campanhas de smishing (SMS phishing) — cada vez mais prevalentes no setor [[financial]] com o crescimento do PIX. > > Plataformas gratuitas acessíveis: **VirusTotal** (gratuito com API key), **OTX AlienVault** (gratuito), **HackerTarget** (DNS lookup gratuito). ## Referências - [MITRE ATT&CK — DC0096 Passive DNS](https://attack.mitre.org/datacomponents/DC0096) - [Farsight DNSDB](https://www.farsightsecurity.com/tools/dnsdb/) - [RiskIQ / Microsoft Defender TI](https://defender.microsoft.com/threatintelligence) - [Passive DNS Community Format](https://datatracker.ietf.org/doc/html/draft-dulaunoy-dnsop-passive-dns-cof) - [[dc0103-active-dns|DC0103 — Active DNS]] - [[ds0029-network-traffic|DS0029 — Network Traffic]] - [[_defenses|Hub de Defesas]] - [[_data-sources|Índice de Data Sources]]