det0028-detect-excessive-or-unauthorized-bandwidth-usage-for-botnet-proxyjacking

# DET0028 — Detect Excessive or Unauthorized Bandwidth Usage for Botnet, Proxyjacking, or Scanning Purposes ## Descrição Esta estratégia detecta uso anômalo de largura de banda de rede associado a atividades maliciosas como participação em botnets, proxyjacking (uso não autorizado da conexão de rede da vítima como proxy para terceiros), cryptomining com tráfego de pool, e varreduras de rede massivas. Essas atividades frequentemente geram padrões de tráfego distintos do uso legítimo corporativo. A telemetria de fluxo de rede (NetFlow, sFlow, IPFIX) é a fonte primária de detecção. Indicadores incluem: volume total de bytes transferidos por host muito acima da linha de base histórica, conexões simultâneas para múltiplos IPs externos em portas incomuns (indicativo de scanning), tráfego de saída sustentado para redes de anonimização (Tor, I2P, residential proxies), e padrões de upload elevado incomum para endpoints que tipicamente só fazem download. Proxyjacking utiliza serviços como Pawns.app, EarnApp ou HoneyGain para monetizar a conexão da vítima. O tráfego gerado é diverso em destino e apresenta padrões de acesso a URLs específicas desses serviços. Cryptomining deixa rastros em conexões para pools conhecidos (porta 3333, 14444, 45700) e uso elevado de CPU simultaneamente ao tráfego. ## Indicadores de Detecção - Volume de bytes transferidos por host > 3x a média histórica de 30 dias sem justificativa - Conexões de saída para > 100 IPs únicos externos em janela de 1 hora (scanning) - Tráfego para portas de pool de mineração: 3333, 14444, 45700 (Stratum protocol) - Conexão a domínios de proxyjacking: `pawns.app`, `earnapp.com`, `honeygain.com` - Upload sustentado (> 30 min) superior a 10 Mbps de endpoint corporativo sem justificativa - Conexões TCP para > 1000 hosts únicos/hora (varredura automatizada) - Tráfego para IPs de saída Tor (Guard nodes) ou I2P bootstrap nodes - Processo com alto consumo de CPU + conexões de rede para IPs de mining pools ## Técnicas Relacionadas - [[t1496-resource-hijacking|T1496 — Resource Hijacking]] - [[t1090-proxy|T1090 — Proxy]] - [[t1046-network-service-discovery|T1046 — Network Service Discovery]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] ## Analytics Relacionadas - [[an0080-analytic-0080|AN0080 — Analytic 0080]] - [[an0081-analytic-0081|AN0081 — Analytic 0081]] - [[an0082-analytic-0082|AN0082 — Analytic 0082]] - [[an0083-analytic-0083|AN0083 — Analytic 0083]] - [[an0084-analytic-0084|AN0084 — Analytic 0084]] --- *Fonte: [MITRE ATT&CK — DET0028](https://attack.mitre.org/detectionstrategies/DET0028)*