det0235-detecting-steganographic-command-and-control-via-file-network-correlatio

# DET0235 — Detecting Steganographic Command and Control via File + Network Correlation ## Descrição Esta estratégia detecta canais C2 que usam esteganografia para ocultar comandos dentro de arquivos de imagem, áudio ou outros formatos aparentemente benignos. O malware baixa imagens de serviços legítimos (Imgur, Twitter, GitHub) e extrai instruções codificadas nos LSBs dos pixels ou em metadados EXIF, tornando o tráfego C2 indistinguível de navegação normal. A correlação entre atividade de download de arquivo e comportamento pós-download é essencial: um processo que baixa uma imagem `.jpg` e em seguida executa código ou realiza novas conexões é suspeito. Grupos como APT32 e Turla usaram esteganografia em campanhas reais. A análise de entropia de arquivos de imagem pode revelar dados ocultos. A telemetria requer correlação de netflow com criação de processos (Sysmon Event ID 1 + 3), análise de entropia de arquivos baixados por processo não-navegador, e detecção de alta entropia em seções de arquivos de imagem que normalmente teriam baixa entropia. ## Indicadores de Detecção - Processo não-navegador baixando arquivo `.jpg`, `.png` ou `.gif` seguido de execução de código - Alta entropia nos bytes LSB de imagens baixadas de serviços de hospedagem de imagens - Processo lendo metadados EXIF de imagem (via `exiftool` ou API de imagem) antes de realizar conexão de rede - Volume de dados em imagem desproporcional à resolução declarada (imagem pequena com arquivo grande) - Download repetitivo de mesma URL de imagem em intervalos regulares (polling de canal C2) - Arquivo de imagem com comentários ou campos de metadados contendo sequências base64 ou hex longas ## Técnicas Relacionadas - [[T1027.003-steganography|T1027.003 — Steganography]] - [[t1102-web-service|T1102 — Web Service]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] ## Analytics Relacionadas - [[an0651-analytic-0651|AN0651 — Analytic 0651]] - [[an0652-analytic-0652|AN0652 — Analytic 0652]] - [[an0653-analytic-0653|AN0653 — Analytic 0653]] - [[an0654-analytic-0654|AN0654 — Analytic 0654]] --- *Fonte: [MITRE ATT&CK — DET0235](https://attack.mitre.org/detectionstrategies/DET0235)*