det0262-detection-strategy-for-dynamic-resolution-through-dns-calculation

# DET0262 — Detection Strategy for Dynamic Resolution through DNS Calculation ## Descrição Esta estratégia detecta o uso de Domain Generation Algorithms (DGAs) e cálculo dinâmico de domínios C2, onde o malware gera domínios de forma algorítmica baseado em sementes (data/hora, strings fixas) para contornar blocklists estáticas de domínios. O adversário registra apenas alguns dos domínios gerados, e o malware testa todos até encontrar um que responde. DGAs são usados por famílias como Dridex, Emotet, Conficker e Zeus. A detecção se baseia em identificar padrões de consultas DNS a domínios com alta entropia (strings aleatórias), NXDOMAIN em grande volume para um mesmo processo, e resolução bem-sucedida de domínio com características algorítmicas (comprimento uniforme, sem palavras reais). A telemetria requer logging completo de DNS (incluindo NXDOMAINs), análise de entropia de domínios resolvidos por processo, e feeds de threat intel com fingerprints de DGAs conhecidos. ## Indicadores de Detecção - Volume anômalo de respostas NXDOMAIN para um único processo em curto período (> 50 em 5 minutos) - Domínios consultados com alta entropia e sem palavras de dicionário reconhecíveis - Consultas DNS para domínios com TLDs incomuns em alta frequência (`*.xyz`, `*.top`, `*.cc`) - Padrão de domínio com comprimento consistente e distribuição de caracteres pseudoaleatória - Processo realizando resolução DNS em loop sem interação de usuário - Domínio recém-registrado (< 24h) resolvendo para IP logo após primeira consulta do malware ## Técnicas Relacionadas - [[T1568.002-domain-generation-algorithms|T1568.002 — Domain Generation Algorithms]] - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1071-004-dns|T1071.004 — DNS]] - [[t1008-fallback-channels|T1008 — Fallback Channels]] - [[t1102-web-service|T1102 — Web Service]] ## Analytics Relacionadas - [[an0728-analytic-0728|AN0728 — Analytic 0728]] - [[an0729-analytic-0729|AN0729 — Analytic 0729]] - [[an0730-analytic-0730|AN0730 — Analytic 0730]] - [[an0731-analytic-0731|AN0731 — Analytic 0731]] --- *Fonte: [MITRE ATT&CK — DET0262](https://attack.mitre.org/detectionstrategies/DET0262)*