det0053-detect-obfuscated-c2-via-network-traffic-analysis

# DET0053 — Detect Obfuscated C2 via Network Traffic Analysis ## Descrição Esta estratégia detecta comúnicações de comando e controle (C2) que utilizam técnicas de ofuscação para se misturar com tráfego legítimo ou evitar inspeção por ferramentas de segurança. Adversários empregam encoding personalizado, encapsulamento de protocolos (HTTP sobre DNS, ICMP tunneling), jitter de beacon, Domain Generation Algorithms (DGAs), e uso de CDNs ou serviços legítimos como intermediários para ocultar infraestrutura C2. Alinhada a [[t1001-data-obfuscation|T1001-data-obfuscation]], a estratégia foca na análise de padrões de tráfego de rede em vez de assinaturas estáticas. Indicadores comportamentais incluem: intervalos regulares de beacon com desvio padrão muito baixo (jitter artificial), alto volume de requisições DNS para domínios com entropia elevada, tráfego HTTP com User-Agents incomuns ou cabeçalhos malformados, e conexões HTTPS para certificados autoassinados ou domínios com baixa idade de registro. A telemetria recomendada inclui logs de DNS (passivo e ativo), captura de metadados de fluxo de rede (NetFlow/IPFIX), logs de proxy web, e inspeção TLS para análise de certificados. A correlação entre múltiplos indicadores fracos (beacon timing + entropia DNS + novo domínio) é mais eficaz que qualquer indicador isolado para reduzir falsos positivos. ## Indicadores de Detecção - Requisições DNS periódicas para o mesmo domínio com intervalos regulares (beaconing pattern) - Domínios com entropia de caracteres > 3.5 bits ou que correspondem a padrões de DGA conhecidos - Conexões HTTPS para domínios registrados há menos de 30 dias com certificados Let's Encrypt - Tráfego HTTP com tamanho de payload constante em múltiplas sessões (padding artificial) - Consultas DNS para subdomínios longos (> 30 caracteres) que codificam dados em Base64/hex ## Técnicas Relacionadas - [[t1001-data-obfuscation|T1001-data-obfuscation]] — técnica primária detectada - [[t1071-application-layer-protocol|T1071-application-layer-protocol]] — uso de protocolos de aplicação para C2 - [[t1568-dynamic-resolution|T1568-dynamic-resolution]] — DGAs e DNS para resolução dinâmica de C2 - [[t1090-proxy|T1090-proxy]] — uso de proxies e CDNs como intermediários - [[t1573-encrypted-channel|T1573-encrypted-channel]] — canais criptografados para ocultar tráfego C2 ## Analytics Relacionadas - [[an0144-analytic-0144|AN0144 — Analytic 0144]] - [[an0145-analytic-0145|AN0145 — Analytic 0145]] - [[an0146-analytic-0146|AN0146 — Analytic 0146]] --- *Fonte: [MITRE ATT&CK — DET0053](https://attack.mitre.org/detectionstrategies/DET0053)*