det0273-detection-strategy-for-encrypted-channel-across-os-platforms

# DET0273 — Detection Strategy for Encrypted Channel across OS Platforms ## Descrição Esta estratégia detecta canais de comunicação criptografados usados por adversários para C2, exfiltração e tunelamento — incluindo HTTPS personalizado, TLS sobre portas não padrão, e protocolos proprietários criptografados. A criptografia é um desafio fundamental para detecção de rede, pois impede inspeção de conteúdo, mas deixa indicadores de metadados analisáveis. Os indicadores incluem: certificados TLS auto-assinados ou com campos incomuns (Subject, Issuer, válidade curta), padrões de JA3/JA3S fingerprint associados a frameworks C2 conhecidos (Cobalt Strike, Metasploit, Sliver), e volume de dados transmitidos em horários ou frequências anômalas. Análise de metadados de TLS sem decriptação é a abordagem central. A telemetria requer captura de metadados TLS (JA3/JA3S fingerprints, certificaté fields), análise de timing e volume de conexões criptografadas, e correlação com threat intel de fingerprints C2 conhecidos. ## Indicadores de Detecção - JA3 fingerprint de conexão TLS correspondendo a fingerprint de framework C2 (Cobalt Strike: `72a589da586844d7f0818ce684948eea`) - Certificado TLS auto-assinado com campo Subject igual ao hostname do servidor (indicador de C2 simples) - Conexão TLS com cipher suite incomum ou versão TLS obsoleta (TLS 1.0) de processo de sistema - SNI no handshake TLS diferente do hostname do certificado apresentado (indicador de domain fronting) - Padrão de beaconing regular (ex: a cada 60s exatamente) em conexão criptografada de saída - Alto volume de dados transmitidos em sessão TLS para destino com reputação baixa ou recém-registrado ## Técnicas Relacionadas - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[T1573.001-symmetric-cryptography|T1573.001 — Symmetric Cryptography]] - [[T1573.002-asymmetric-cryptography|T1573.002 — Asymmetric Cryptography]] - [[T1090.004-domain-fronting|T1090.004 — Domain Fronting]] - [[t1071-001-web-protocols|T1071.001 — Web Protocols]] ## Analytics Relacionadas - [[an0759-analytic-0759|AN0759 — Analytic 0759]] - [[an0760-analytic-0760|AN0760 — Analytic 0760]] - [[an0761-analytic-0761|AN0761 — Analytic 0761]] - [[an0762-analytic-0762|AN0762 — Analytic 0762]] - [[an0763-analytic-0763|AN0763 — Analytic 0763]] --- *Fonte: [MITRE ATT&CK — DET0273](https://attack.mitre.org/detectionstrategies/DET0273)*