det0411-detection-strategy-for-hide-infrastructure

# DET0411 — Detection Strategy for Hide Infrastructure ## Descrição Adversários empregam diversas técnicas para ocultar sua infraestrutura de C2 e staging, dificultando rastreamento, atribuição e bloqueio. Isso inclui o uso de serviços de proxy reverso (Cloudflare, Fastly), redirecionadores (redirectors), redes de servidores comprometidos como intermediários (hop points), e serviços legítimos de hospedagem como camada de anonimização entre o malware e os servidores de controle reais. A detecção se baseia em análise de reputação de infraestrutura em múltiplas dimensões: domínios com histórico de registro recente, certificados TLS com campos suspeitos, ASNs associados a provedores de VPS de alto abuso, e padrões de geolocalização inconsistentes com o perfil de negócios da organização. Inteligência de ameaças (CTI feeds como ThreatFox, URLhaus, FeodoTracker) deve ser integrada ao SIEM para correlação em tempo real. Grupos como [[g0016-apt29]], [[g0016-apt29]] e operadores de [[s0154-cobalt-strike]] investem significativamente em infraestrutura de múltiplos saltos para proteger servidores C2 reais. A análise de domínios gerados por DGA, verificação de certificados TLS maliciosos e correlação com IoCs conhecidos de campanhas ativas são componentes essenciais dessa estratégia de detecção. ## Indicadores de Detecção - Conexões para domínios registrados há menos de 30 dias com padrão de naming aleatório - Certificados TLS auto-assinados ou com campos Subject incomuns em conexões de aplicativos - Tráfego HTTPS para IPs em ASNs de provedores de VPS com histórico de abuso (Frantech, M247) - Domínios de destino presentes em feeds de inteligência de ameaças (ThreatFox, FeodoTracker) - Padrão de rotação de IPs de destino para o mesmo domínio (fast flux DNS) ## Técnicas Relacionadas - [[t1665-hide-infrastructure|T1665 — Hide Infrastructure]] - [[t1583-acquire-infrastructure|T1583 — Acquire Infrastructure]] - [[t1090-proxy|T1090 — Proxy]] - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1102-web-service|T1102 — Web Service]] ## Analytics Relacionadas - [[an1148-analytic-1148|AN1148 — Analytic 1148]] - [[an1149-analytic-1149|AN1149 — Analytic 1149]] - [[an1150-analytic-1150|AN1150 — Analytic 1150]] - [[an1151-analytic-1151|AN1151 — Analytic 1151]] - [[an1152-analytic-1152|AN1152 — Analytic 1152]] --- *Fonte: [MITRE ATT&CK — DET0411](https://attack.mitre.org/detectionstrategies/DET0411)*