det0002-behavioral-detection-of-publishsubscribe-protocol-misuse-for-c2

# DET0002 — Behavioral Detection of Publish/Subscribe Protocol Misuse for C2 ## Descrição Esta estratégia detecta o abuso de protocolos publish/subscribe legítimos — como MQTT, AMQP, Redis Pub/Sub e serviços de mensageria em nuvem (AWS SNS/SQS, Google Pub/Sub) — para estabelecer canais de comando e controle (C2). Ao se misturar ao tráfego legítimo de IoT ou microsserviços, atacantes evitam detecção por proxies e firewalls tradicionais. O comportamento malicioso tipicamente envolve um implante que se conecta a um broker pub/sub externo, subscreve em um tópico controlado pelo atacante e aguarda comandos codificados. A comunicação é assíncrona e de baixo volume, tornando difícil a detecção por simples análise de volume de tráfego. A detecção efetiva requer análise comportamental: identificar hosts que não deveriam utilizar protocolos de mensageria estabelecendo conexões externas nesses protocolos, correlacionada com análise de resolução DNS para brokers conhecidos e inspeção de payloads em busca de padrões de codificação anômalos. ## Indicadores de Detecção - Processo não relacionado a IoT ou middleware conectando-se a brokers MQTT (porta 1883/8883) externos - Conexões a serviços de mensageria cloud (SQS, Pub/Sub, Service Bus) originadas de hosts de endpoint ou servidores de aplicação - Tópico ou fila com nome gerado aleatoriamente ou com padrão de codificação (base64, hex) - Heartbeat periódico de baixa frequência (check-in a cada N minutos) para broker externo - Payload de mensagem com entropia elevada ou sem correlação com o propósito declarado do serviço ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1102-web-service|T1102 — Web Service]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] ## Analytics Relacionadas - [[an0002-analytic-0002|AN0002 — Analytic 0002]] - [[an0003-analytic-0003|AN0003 — Analytic 0003]] - [[an0004-analytic-0004|AN0004 — Analytic 0004]] - [[an0005-analytic-0005|AN0005 — Analytic 0005]] --- *Fonte: [MITRE ATT&CK — DET0002](https://attack.mitre.org/detectionstrategies/DET0002)*