det0039-detection-strategy-for-dynamic-resolution-across-os-platforms

# DET0039 — Detection Strategy for Dynamic Resolution across OS Platforms ## Descrição Esta estratégia detecta o uso de resolução dinâmica de infraestrutura C2 — técnicas pelas quais o malware calcula ou descobre seus servidores C2 em tempo de execução em vez de usá-los hardcodados, dificultando o bloqueio preventivo baseado em IoCs estáticos. As principais sub-técnicas incluem Domain Generation Algorithms (DGA), Fast Flux DNS, e resolução via Dead Drop Resolvers (lookup de domínio C2 em serviços legítimos como Twitter ou GitHub). DGA gera automaticamente centenas ou milhares de nomes de domínio com base em uma seed (data, contador), e o malware testa cada um até encontrar o ativo. Detectores de DGA analisam a entropia e padrões léxicos de domínios consultados: domínios com alta entropia, compostos por strings sem significado lexical (ex: `xkjqpzmvbn.com`), consultados em sequência rápida, são característicos de DGA. Fast Flux altera os registros DNS do domínio C2 a cada TTL mínimo, distribuindo a resolução por múltiplos IPs. Dead Drop Resolvers usam serviços legítimos (Google Docs, Pastebin, Twitter/X) para públicar o IP ou domínio C2 atual. O malware consulta esses serviços em intervalos regulares e extrai o endereço com steganografia simples (campo de texto, comentário de imagem). A detecção requer correlacionar consultas DNS de alta frequência a domínios com padrões de DGA, mudanças frequentes de A record para o mesmo domínio, e acessos a plataformas legítimas para extração de configuração. ## Indicadores de Detecção - Consultas DNS para > 20 domínios únicos com alta entropia (> 3.5 bits/char) em < 5 minutos - Domínio com TTL ≤ 60s e múltiplos A records mudando a cada resolução (Fast Flux) - Falhas de resolução DNS em sequência (NXDOMAIN) para domínios com padrão algorítmico similar - Consultas DNS para TLDs incomuns (`.tk`, `.ml`, `.ga`, `.cf`) em alto volume por processo de usuário - Processo lendo conteúdo de plataformas como Pastebin ou GitHub via regex de IP/domínio - Resolução de domínio com valor de A record diferente a cada consulta em curto intervalo - Domínios com nomes gerados por concatenação de palavras aleatórias (`red-apple-fox-123.com`) consultados em sequência ## Técnicas Relacionadas - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1102-web-service|T1102 — Web Service]] - [[t1090-proxy|T1090 — Proxy]] ## Analytics Relacionadas - [[an0109-analytic-0109|AN0109 — Analytic 0109]] - [[an0110-analytic-0110|AN0110 — Analytic 0110]] - [[an0111-analytic-0111|AN0111 — Analytic 0111]] - [[an0112-analytic-0112|AN0112 — Analytic 0112]] --- *Fonte: [MITRE ATT&CK — DET0039](https://attack.mitre.org/detectionstrategies/DET0039)*