det0196-domain-fronting-behavior-via-mismatched-tls-sni-and-http-host-headers

# DET0196 — Domain Fronting Behavior via Mismatched TLS SNI and HTTP Host Headers ## Descrição Esta estratégia detecta domain fronting — técnica de C2 onde o campo SNI (Server Name Indication) do handshake TLS contém um domínio legítimo de CDN (CloudFront, Fastly, Azure CDN) enquanto o header HTTP Host aponta para o servidor C2 real do adversário. Isso engana inspeções de firewall baseadas em SNI, pois a conexão parece legítima para CDNs conhecidas — mapeada para [[T1090.004 — Domain Fronting]]. A detecção requer inspeção profunda de pacotes (DPI) ou proxies TLS que descriptografam e inspecionam tanto o SNI quanto os headers HTTP internos. A discrepância entre o domínio no SNI TLS e o header `Host:` da requisição HTTP indica domain fronting. Ferramentas como Cobalt Strike, Sliver e Meterpreter usam domain fronting com CDNs populares para mascarar tráfego C2 como legítimo. Quatro analytics endereçam: discrepância SNI vs Host em tráfego HTTPS inspecionado, requisições HTTPS a CDNs populares com Host headers suspeitos, padrões de beaconing (intervalos regulares de conexão) para endpoints de CDN, e User-agents de requisições via CDN inconsistentes com o software declarado. ## Indicadores de Detecção - Campo TLS SNI apontando para `*.cloudfront.net` com HTTP Host header diferente do SNI - Requisições HTTPS para `*.azureedge.net` ou `*.fastly.net` com Host header de domínio não-relacionado - Padrão de beaconing regular (ex: conexão a cada 60±5s) para endpoint de CDN - User-agent não-browser fazendo requisições via CDN com intervalos regulares - Volume de dados consistente (tamanho fixo de requisições/respostas) indicando C2 over CDN - Certificado TLS do servidor CDN mas resposta HTTP com conteúdo não-CDN - Ausência de redirect 301/302 esperado em requisição a CDN com Host header inconsistente ## Técnicas Relacionadas - [[t1090-proxy|T1090 — Proxy]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1102-web-service|T1102 — Web Service]] ## Analytics Relacionadas - [[an0564-analytic-0564|AN0564 — Analytic 0564]] - [[an0565-analytic-0565|AN0565 — Analytic 0565]] - [[an0566-analytic-0566|AN0566 — Analytic 0566]] - [[an0567-analytic-0567|AN0567 — Analytic 0567]] --- *Fonte: [MITRE ATT&CK — DET0196](https://attack.mitre.org/detectionstrategies/DET0196)*