det0143-detection-strategy-for-encrypted-channel-via-symmetric-cryptography-acro

# DET0143 — Detection Strategy for Encrypted Channel via Symmetric Cryptography across OS Platforms ## Descrição Esta estratégia detecta canais de comunicação C2 que utilizam criptografia simétrica customizada (T1573.001) — como AES, RC4, XOR, ChaCha20 — ao invés de TLS/SSL padrão, permitindo ao adversário comunicar-se de forma opaca mesmo sem certificado válido. Frameworks como Cobalt Strike (por padrão usa XOR ou AES customizado no beacon), Sliver, e implantes APT customizados frequentemente implementam seu próprio protocolo de criptografia sobre HTTP/HTTPS ou TCP raw. O indicador central é tráfego de rede com alta entropia no corpo do payload, especialmente quando o protocolo de transporte é HTTP mas o conteúdo não corresponde ao padrão esperado de HTML/JSON/XML. A ausência de TLS handshake combinada com alta entropia de bytes é característica de criptografia simétrica sem protocolo de chave pública. A telemetria inclui análise de entropia de payload de rede (ferramentas como Zeek/Bro com scripts de análise de entropia), análise de fluxo NetFlow para comúnicações com alta regularidade de beacon, e EDR para chamadas de API criptográfica (`CryptEncrypt`, `AES_encrypt`, `RC4`) por processos com comportamento anômalo. Cross-platform: Windows (Sysmon Event ID 3), Linux (auditd network), macOS (tcpdump + endpoint telemetry). ## Indicadores de Detecção - Payload HTTP com entropia >7.0 bits/byte (indicativo de criptografia ou compressão) - Tráfego TCP raw para porta não-padrão com tamanhos de pacote uniformes (beaconing pattern) - API `CryptEncrypt` ou `BCryptEncrypt` chamada por processo em caminho suspeito antes de envio de rede - Comúnicação HTTP onde corpo da resposta tem distribuição de bytes uniformemente alta (não-textual) - Processo chamando `RC4`, `AES_CTR` ou XOR em loop com dados antes de chamar `send()`/`WSASend()` ## Técnicas Relacionadas - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1095-non-application-layer-protocol|T1095 — Non-Application Layer Protocol]] - [[t1001-data-obfuscation|T1001 — Data Obfuscation]] - [[t1132-data-encoding|T1132 — Data Encoding]] ## Analytics Relacionadas - [[an0400-analytic-0400|AN0400 — Analytic 0400]] - [[an0401-analytic-0401|AN0401 — Analytic 0401]] - [[an0402-analytic-0402|AN0402 — Analytic 0402]] - [[an0403-analytic-0403|AN0403 — Analytic 0403]] - [[an0404-analytic-0404|AN0404 — Analytic 0404]] --- *Fonte: [MITRE ATT&CK — DET0143](https://attack.mitre.org/detectionstrategies/DET0143)*