det0326-behavior-chain-detection-for-t1132002-data-encoding-non-standard-encodin

# DET0326 — Behavior-chain detection for T1132.002 Data Encoding: Non-Standard Encoding across Windows, Linux, macOS, ESXi ## Descrição Esta estratégia detecta o uso de codificações não-padrão em comúnicações C2 — como XOR, Base32, Base85, codificação personalizada ou variantes modificadas de Base64 — para encapsular dados de comando e controle e evadir detecção por análise de conteúdo de rede. A técnica [[T1132.002-non-standard-encoding]] é amplamente utilizada por implantes APT e C2 frameworks como Cobalt Strike em sua modalidade de staging customizado. A abordagem de detecção em cadeia de comportamento (behavior-chain) correlaciona múltiplos eventos: execução de processo suspeito → conexão de rede → dados com estrutura de codificação não reconhecida. Inspecionar o payload de conexões HTTP/DNS em busca de padrões de codificação não-padrão (ausência de padding `=`, alfabetos fora do padrão RFC4648) é fundamental. A detecção cobre múltiplas plataformas (Windows, Linux, macOS, ESXi) pois adversários utilizam as mesmas técnicas de codificação independente do sistema alvo. Em ambientes VMware ESXi, a técnica ganhou relevância após campanhas de ransomware específicas para hypervisors em 2023-2024. ## Indicadores de Detecção - Dados de rede com aparência de Base64 mas com alfabeto modificado ou sem padding - Payloads HTTP/HTTPS com corpo de resposta de tamanho fixo e conteúdo de alta entropia - Dados DNS TXT records com strings de codificação não-padrão - Processos de script gerando strings codificadas antes de conexões de rede - Comúnicação com padrão de request/response onde o tamanho do response é sempre múltiplo de 4 - Fluxo XOR detectado via análise de entropia diferencial em capturas de pacotes ## Técnicas Relacionadas - [[T1132.002-non-standard-encoding]] — técnica primária - [[t1132-data-encoding|T1132-data-encoding]] — categoria pai - [[t1071-application-layer-protocol|T1071-application-layer-protocol]] — protocolos utilizados para transporte dos dados codificados - [[t1001-data-obfuscation|T1001-data-obfuscation]] — ofuscação de dados C2 de forma mais ampla - [[t1572-protocol-tunneling|T1572-protocol-tunneling]] — tunelamento frequentemente combinado com codificação não-padrão ## Analytics Relacionadas - [[an0927-analytic-0927|AN0927 — Analytic 0927]] - [[an0928-analytic-0928|AN0928 — Analytic 0928]] - [[an0929-analytic-0929|AN0929 — Analytic 0929]] - [[an0930-analytic-0930|AN0930 — Analytic 0930]] --- *Fonte: [MITRE ATT&CK — DET0326](https://attack.mitre.org/detectionstrategies/DET0326)*