det0359-multi-hop-proxy-behavior-via-relay-node-chaining-onion-routing-and-netwo

# DET0359 — Multi-hop Proxy Behavior via Relay Node Chaining, Onion Routing, and Network Tunneling ## Descrição Adversários sofisticados utilizam cadeias de proxies multi-hop, roteamento onion (Tor) e tunelamento de rede para ocultar a origem real do tráfego de C2 e dificultar a atribuição. Grupos APT como [[g0032-lazarus-group|Lazarus Group]] e [[g0016-apt29|APT29]] frequentemente encadeiam múltiplos nós intermediários — VPS comprometidos, roteadores domésticos infectados, ou infraestrutura de nuvem legítima — para mascarar comúnicações com implantes em redes corporativas. O tunelamento pode ocorrer via protocolos legítimos como DNS-over-HTTPS, HTTPS/TLS, ICMP ou até DNS puro. A identificação desse comportamento exige análise de tráfego de rede em camada 3/4 e correlação com inteligência de ameaças sobre nós Tor conhecidos, endereços IP de provedores de VPN comerciais, e infraestrutura de relay identificada em feeds de CTI. Ferramentas de inspeção profunda de pacotes (DPI) e análise de fluxo NetFlow são essenciais para detectar padrões de latência anômala, jitter consistente (indicativo de camadas de proxy), e destinos que não se enquadram no perfil de negócios da organização. A estratégia correlaciona múltiplas analytics: detecção de conexões a nós Tor conhecidos, tunelamento DNS, uso de portas não-padrão em conexões persistentes, e análise de entropia de tráfego criptografado para identificar protocolos personalizados de C2 embutidos em HTTPS legítimo. ## Indicadores de Detecção - Conexões de saída para IPs listados em feeds de nós Tor (guard nodes, exit nodes) - Tráfego DNS com payloads anormalmente grandes (> 512 bytes) sugestivo de DNS tunneling - Conexões HTTPS para IPs sem hostname DNS reverso válido ou certificados autoassinados - Latência de round-trip com jitter padrão sugestivo de múltiplos hops intermediários - Conexões persistentes de longa duração (> 1 hora) em portas incomuns (ex: 8443, 4444, 8080) - Beacon timing regular com intervalos fixos (indicativo de C2 automatizado) ## Técnicas Relacionadas - [[t1090-proxy|T1090 — Proxy]] - [[T1090003-multi-hop-proxy|T1090.003 — Multi-hop Proxy]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1095-non-application-layer-protocol|T1095 — Non-Application Layer Protocol]] ## Analytics Relacionadas - [[an1020-analytic-1020|AN1020 — Analytic 1020]] - [[an1021-analytic-1021|AN1021 — Analytic 1021]] - [[an1022-analytic-1022|AN1022 — Analytic 1022]] - [[an1023-analytic-1023|AN1023 — Analytic 1023]] - [[an1024-analytic-1024|AN1024 — Analytic 1024]] --- *Fonte: [MITRE ATT&CK — DET0359](https://attack.mitre.org/detectionstrategies/DET0359)*