det0228-detect-multi-stage-command-and-control-channels

# DET0228 — Detect Multi-Stage Command and Control Channels ## Descrição Esta estratégia detecta infraestruturas C2 multi-estágio, onde o implante inicial (stager) se comúnica com um servidor intermediário que redireciona o tráfego para o servidor C2 real. Essa arquitetura em camadas aumenta a resiliência e dificulta o rastreamento da infraestrutura adversarial, pois os redirecionadores podem ser comprometidos legítimos ou serviços de nuvem. O padrão típico envolve: implante -> redirector (VPS comprometido ou serviço legítimo) -> servidor C2 principal. Os indicadores incluem conexões sequenciais a múltiplos IPs/domínios em curtos intervalos, respostas HTTP com códigos de redirecionamento (301/302) para destinos externos, e uso de CDNs ou serviços cloud como camada de ofuscação. A telemetria necessária abrange análise de DNS para sequências de resolução, captura de headers HTTP completos (incluindo Location), análise de TLS SNI para identificar redirecionadores, e correlação de netflow para detectar padrões em cadeia de conexões. ## Indicadores de Detecção - Processo realizando conexões sequenciais a múltiplos hosts externos em cadeia (A->B->C) - Respostas HTTP 301/302 de IPs não relacionados ao domínio requisitado originalmente - Resolução DNS para domínio que aponta a IP diferente do esperado para o provider declarado - Uso de `curl` ou `Invoke-WebRequest` com parâmetro `-L` (follow redirects) em scripts automáticos - Tráfego HTTPS com SNI diferente do host no header HTTP (indicador de fronting) - Conexões de saída para múltiplos IPs de diferentes ASNs com padrão de beaconing similar ## Técnicas Relacionadas - [[T1090.002-external-proxy|T1090.002 — External Proxy]] - [[T1090.004-domain-fronting|T1090.004 — Domain Fronting]] - [[t1102-web-service|T1102 — Web Service]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] ## Analytics Relacionadas - [[an0637-analytic-0637|AN0637 — Analytic 0637]] - [[an0638-analytic-0638|AN0638 — Analytic 0638]] - [[an0639-analytic-0639|AN0639 — Analytic 0639]] - [[an0640-analytic-0640|AN0640 — Analytic 0640]] --- *Fonte: [MITRE ATT&CK — DET0228](https://attack.mitre.org/detectionstrategies/DET0228)*