det0058-detection-strategy-for-web-service-dead-drop-resolver

# DET0058 — Detection Strategy for Web Service: Dead Drop Resolver ## Descrição Esta estratégia detecta o uso de serviços web legítimos como "dead drop resolvers" — mecanismo onde malware acessa um perfil público (GitHub Gist, Pastebin, Twitter, Telegram, Reddit) para recuperar o endereço real do servidor C2, em vez de ter o C2 hardcoded. Isso torna o bloqueio de infraestrutura C2 ineficaz, pois bloquear o dead drop não destrói a operação — o operador simplesmente atualiza o conteúdo do post com novo endereço. Alinhada a [[T1102.001-web-service-dead-drop-resolver]], a técnica é amplamente usada por APTs — incluindo grupos associados à Rússia, China e Coreia do Norte — e por RATs commoditizados. O malware acessa uma URL pública (ex: `pastebin.com/raw/XXXXXXXX`) em intervalos regulares, analisa o conteúdo buscando um padrão (IP/domínio em formato específico, às vezes codificado em Base64 ou XOR), e conecta ao C2 obtido. A detecção foca em padrões de acesso anômalos a serviços de paste/código por processos não-navegador ou não-desenvolvimento, especialmente quando seguidos de conexões de rede a novos IPs. A análise do corpo da resposta HTTP para padrões de endereço IP ou domínio embutido em conteúdo não-HTML é uma abordagem complementar de análise de conteúdo de rede. ## Indicadores de Detecção - Processo não-navegador fazendo requisições HTTP regulares a `pastebin.com`, `gist.github.com`, `ghostbin.co`, `hastebin.com` - Acesso periódico (beaconing) a URLs de serviços de paste por agente sem User-Agent de navegador - Conexão de rede estabelecida imediatamente após acesso a serviço de paste, para IP nunca antes contactado - Conteúdo de resposta de serviço paste contendo padrões regex de endereço IP ou domínio - Acesso a perfis de redes sociais (Twitter, Telegram) por processo de sistema ou script logo após inicialização ## Técnicas Relacionadas - [[T1102.001-web-service-dead-drop-resolver]] — técnica primária detectada - [[t1102-web-service|T1102-web-service]] — categoria pai de uso de serviços web para C2 - [[t1568-dynamic-resolution|T1568-dynamic-resolution]] — resolução dinâmica de endereço C2 - [[t1071-001-web-protocols]] — comunicação C2 via HTTP/HTTPS - [[t1573-encrypted-channel|T1573-encrypted-channel]] — canal criptografado para comunicação após resolução ## Analytics Relacionadas - [[an0158-analytic-0158|AN0158 — Analytic 0158]] - [[an0159-analytic-0159|AN0159 — Analytic 0159]] - [[an0160-analytic-0160|AN0160 — Analytic 0160]] - [[an0161-analytic-0161|AN0161 — Analytic 0161]] --- *Fonte: [MITRE ATT&CK — DET0058](https://attack.mitre.org/detectionstrategies/DET0058)*