det0027-detection-of-web-protocol-based-c2-over-http-https-or-websockets

# DET0027 — Detection of Web Protocol-Based C2 Over HTTP, HTTPS, or WebSockets ## Descrição Esta estratégia detecta canais de comando e controle (C2) que utilizam protocolos web legítimos — HTTP, HTTPS e WebSockets — para se camuflar no tráfego normal de rede. Frameworks C2 como Cobalt Strike, Metasploit, Sliver, Brute Ratel e Empire frequentemente utilizam HTTP/HTTPS como transporte padrão, com beacons periódicos que imitam tráfego de navegação para evadir inspeções superficiais. A detecção foca em anomalias comportamentais do tráfego HTTP/HTTPS: intervalos de beacon regulares (jitter baixo ou padrão periódico fixo), User-Agents incomuns ou fabricados, campos de cabeçalho HTTP com valores codificados em Base64 ou fora do padrão, e hosts de destino com DGA (Domain Generation Algorithm) ou domínios recém-registrados. Conexões HTTPS de processos que normalmente não fazem chamadas de rede (ex: `svchost.exe` para IP direto, sem SNI) são altamente suspeitas. WebSockets (upgrade de HTTP para `ws://` ou `wss://`) adicionam bidirecionalidade em tempo real ao canal C2, tornando o tráfego ainda mais semelhante a aplicações legítimas como chat e colaboração. A detecção requer análise de fluxo: duração prolongada de conexões WebSocket com baixo volume de dados intercalado com pequenos bursts é um padrão característico de C2 interativo. ## Indicadores de Detecção - Beacon HTTP/HTTPS com intervalos regulares (ex: a cada 60s ±5s) para mesmo host externo - User-Agent string não presente no baseline de navegadores da organização - Cabeçalho HTTP `Cookie`, `X-Custom` ou `Authorization` com dados encodados em Base64 - Processo não-browser (ex: `rundll32.exe`, `mshta.exe`) iniciando conexão HTTPS para IP direto - Conexão WebSocket persistente (> 1h) de processo de usuário para domínio recém-registrado - Certificado TLS autoassinado ou com Subject/SANs genéricos (ex: `www.microsoft.com` em IP suspeito) - Domínio de destino com alta entropia no hostname (indicador de DGA) - DNS para domínio com TTL muito baixo (< 60s) associado a padrão de beacon ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1090-proxy|T1090 — Proxy]] ## Analytics Relacionadas - [[an0075-analytic-0075|AN0075 — Analytic 0075]] - [[an0076-analytic-0076|AN0076 — Analytic 0076]] - [[an0077-analytic-0077|AN0077 — Analytic 0077]] - [[an0078-analytic-0078|AN0078 — Analytic 0078]] - [[an0079-analytic-0079|AN0079 — Analytic 0079]] --- *Fonte: [MITRE ATT&CK — DET0027](https://attack.mitre.org/detectionstrategies/DET0027)*