det0108-detection-strategy-for-data-encoding-in-c2-channels

# DET0108 — Detection Strategy for Data Encoding in C2 Channels ## Descrição Esta estratégia detecta o uso de encoding (Base64, XOR, Hex, compressão) em canais de C2 para ofuscar o conteúdo de comúnicações maliciosas e evadir inspeção de DLP e IDS/IPS. O encoding não é criptografia — o conteúdo pode ser decodificado sem chave — mas é utilizado para evitar detecção por assinaturas de string em tráfego de rede e frustrar análise superficial. Os padrões detectáveis incluem: tráfego HTTP com corpo em Base64 puro (identificável pelo charset `A-Za-z0-9+/=` com padding), requests POST com conteúdo altamente entrópico sem Content-Type correspondente, e beaconing periódico com payloads de tamanho fixo sugestivos de encoding estruturado. Análise estatística de entropia do payload (Shannon entropy) diferencia dados codificados de texto natural mesmo sem decodificação. A estratégia complementa detecção de C2 criptografado: quando adversários usam TLS, a análise de JA3/JA3S fingerprint, tamanho de certificado e padrões de beaconing (jitter, período) são as abordagens. Sem TLS, análise de entropia e padrões de charset são eficazes. Frameworks como [[s0154-cobalt-strike]] com perfis malleable e [[metasploit]] Meterpreter utilizam encoding de dados C2 como configuração padrão ou customizada. ## Indicadores de Detecção - Tráfego HTTP POST/GET com corpo em Base64 (charset `[A-Za-z0-9+/=]`, múltiplos de 4 chars) para domínios não reconhecidos - Payloads de rede com entropia de Shannon >6.5 sem Content-Encoding legítimo (gzip, deflaté) - Requests HTTP periódicos com intervalo fixo (30s, 60s, 300s) e tamanho de payload consistente - Headers HTTP customizados com valores codificados em Base64 ou Hex - DNS TXT queries com strings de alta entropia (DNS tunneling com encoding) - Tráfego de saída com charset não-ASCII uniforme (XOR encoding resulta em distribuição característica) ## Técnicas Relacionadas - [[t1132-data-encoding]] — Técnica principal - [[t1132001-data-encoding-standard-encoding]] — Standard encoding (Base64, Hex) - [[t1132002-data-encoding-non-standard-encoding]] — Non-standard encoding (XOR, custom) - [[t1071001-web-protocols]] — HTTP/S como protocolo de C2 com encoding - [[t1048-exfiltration-over-alternative-protocol]] — Exfiltração com dados encodados ## Analytics Relacionadas - [[an0302-analytic-0302|AN0302 — Analytic 0302]] - [[an0303-analytic-0303|AN0303 — Analytic 0303]] - [[an0304-analytic-0304|AN0304 — Analytic 0304]] - [[an0305-analytic-0305|AN0305 — Analytic 0305]] --- *Fonte: [MITRE ATT&CK — DET0108](https://attack.mitre.org/detectionstrategies/DET0108)*