det0419-detection-strategy-for-dynamic-resolution-using-domain-generation-algori

# DET0419 — Detection Strategy for Dynamic Resolution using Domain Generation Algorithms ## Descrição Domain Generation Algorithms (DGA) são algoritmos implementados em malware que geram pseudoaletoriamente grandes quantidades de nomes de domínio candidatos a C2, baseados em sementes como a data atual ou valores derivados do sistema infectado. O atacante registra apenas um subconjunto desses domínios, dificultando drasticamente o bloqueio preventivo pelos defensores — bloquear um domínio tem pouco impacto quando o malware gera centenas de alternativas por dia. A detecção de DGA baseia-se em análise estatística das consultas DNS: domínios com alta entropia (sequências de caracteres aparentemente aleatórias), comprimento incomum (15-30 caracteres sem palavras reconhecíveis), padrões de resolução com alta taxa de NXDOMAIN (domínios não existentes — o malware tentando encontrar o domínio ativo do dia), e consultas para múltiplos domínios de TLDs comuns em curto intervalo são os principais indicadores. Famílias de malware como [[s0367-emotet]], [[s0266-trickbot]], [[s0608-conficker]] e [[g0069-mango-sandstorm]] utilizam DGA como mecanismo de resiliência de C2. Modelos de machine learning treinados em características léxicas de domínios (n-grams de caracteres, distribuição de vogais/consoantes, entropia de Shannon) são frequentemente mais eficazes que regras estáticas para detecção de novos algoritmos DGA ainda não catalogados. ## Indicadores de Detecção - Alta taxa de respostas NXDOMAIN para um único host em curto intervalo (> 50 NXDOMAIN/hora) - Consultas DNS para domínios com entropia de Shannon > 3,5 bits por caractere - Domínios com comprimento entre 15-30 caracteres sem palavras reconhecíveis de dicionário - Padrão de consultas DNS para mesma TLD com nomes variando aleatoriamente por mesmo processo - Primeiro registro de resolução DNS para um domínio que retornou NXDOMAIN no mesmo dia ## Técnicas Relacionadas - [[T1568002-domain-generation-algorithms|T1568.002 — Domain Generation Algorithms]] - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[T1071004-dns|T1071.004 — DNS]] - [[t1008-fallback-channels|T1008 — Fallback Channels]] - [[T1583001-domains|T1583.001 — Domains]] ## Analytics Relacionadas - [[an1178-analytic-1178|AN1178 — Analytic 1178]] - [[an1179-analytic-1179|AN1179 — Analytic 1179]] - [[an1180-analytic-1180|AN1180 — Analytic 1180]] - [[an1181-analytic-1181|AN1181 — Analytic 1181]] --- *Fonte: [MITRE ATT&CK — DET0419](https://attack.mitre.org/detectionstrategies/DET0419)*