# DET0011 — Detecting Junk Data in C2 Channels via Behavioral Analysis ## Descrição Esta estratégia detecta o uso de dados fictícios (junk data) em canais de comunicação C2 como técnica de ofuscação de tráfego. Frameworks C2 modernos como Cobalt Strike e Brute Ratel inserem dados de preenchimento aleatório nas comúnicações para dificultar a identificação de padrões e tornar o tráfego malicioso estatisticamente semelhante ao tráfego legítimo (ex: HTTP que imita navegação web). O junk data pode aparecer como parâmetros GET/POST sem sentido semântico, headers HTTP incomuns com valores aleatórios, ou padding em payloads codificados em base64. A análise de entropia e a comparação com distribuições estatísticas de tráfego legítimo são as abordagens mais eficazes para identificar essa técnica. Ferramentas de inspeção de tráfego (NDR, IDS com análise de protocolo) que avaliam a entropia de payloads HTTP, a variância de tamanhos de requisição e a aleatoriedade de parâmetros são as fontes de telemetria primárias para esta detecção. ## Indicadores de Detecção - Requisições HTTP com parâmetros de query string com entropia elevada e sem correlação semântica - Tamanho de corpo de requisição POST anormalmente fixo ou com variância mínima (padded to fixed size) - Headers HTTP não padrão com valores aparentemente aleatórios em comúnicações repetitivas - Razão de bytes úteis vs. bytes de padding consistentemente baixa em fluxo HTTP - Cookie ou User-Agent com estrutura inconsistente com o browser/cliente declarado ## Técnicas Relacionadas - [[t1001-data-obfuscation|T1001 — Data Obfuscation]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] ## Analytics Relacionadas - [[an0030-analytic-0030|AN0030 — Analytic 0030]] - [[an0031-analytic-0031|AN0031 — Analytic 0031]] - [[an0032-analytic-0032|AN0032 — Analytic 0032]] - [[an0033-analytic-0033|AN0033 — Analytic 0033]] --- *Fonte: [MITRE ATT&CK — DET0011](https://attack.mitre.org/detectionstrategies/DET0011)*