det0400-behavioral-detection-of-dns-tunneling-and-application-layer-abuse

# DET0400 — Behavioral Detection of DNS Tunneling and Application Layer Abuse ## Descrição O tunelamento DNS é uma técnica avançada de evasão em que adversários encapsulam dados ou comandos C2 dentro de consultas e respostas DNS legítimas, contornando controles de firewall que geralmente permitem tráfego DNS sem inspeção profunda. A camada de aplicação (HTTP, HTTPS, DNS, ICMP) é sistematicamente abusada para criar canais de comunicação encobertos que se misturam ao tráfego normal de produção. A detecção comportamental analisa características estatísticas das consultas DNS — como comprimento incomum de subdomínios, alta entropia nos labels DNS, frequência de consultas acima do baseline, uso de TLDs raros ou domínios registrados recentemente. Ferramentas como Zeek/Bro e Suricata com regras específicas para DNS tunneling são essenciais nessa abordagem. Além do DNS, protocolos como ICMP (ICMP tunneling), HTTP com cabeçalhos customizados e WebSocket são frequentemente abusados por frameworks C2 como [[s0154-cobalt-strike]], [[dns2tcp]] e [[iodine]]. A correlação entre anomalias DNS e processos que realizam consultas incomuns no endpoint — como `powershell.exe` fazendo centenas de consultas DNS — é um indicador de alta confiança. ## Indicadores de Detecção - Consultas DNS com subdomínios de comprimento superior a 50 caracteres ou alta entropia - Volume de consultas DNS por host significativamente acima da média histórica - Consultas DNS para domínios com registros recentes (< 30 dias) ou TLDs incomuns - Respostas DNS com registros TXT de grande tamanho carregando dados codificados em Base64 - Processo não-browser realizando consultas DNS em alta frequência ou para múltiplos domínios únicos ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[T1071004-dns|T1071.004 — DNS]] - [[t1132-data-encoding|T1132 — Data Encoding]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] ## Analytics Relacionadas - [[an1121-analytic-1121|AN1121 — Analytic 1121]] - [[an1122-analytic-1122|AN1122 — Analytic 1122]] - [[an1123-analytic-1123|AN1123 — Analytic 1123]] - [[an1124-analytic-1124|AN1124 — Analytic 1124]] - [[an1125-analytic-1125|AN1125 — Analytic 1125]] --- *Fonte: [MITRE ATT&CK — DET0400](https://attack.mitre.org/detectionstrategies/DET0400)*