det0444-detection-of-command-and-control-over-application-layer-protocols

# DET0444 — Detection of Command and Control Over Application Layer Protocols ## Descrição Adversários utilizam protocolos de camada de aplicação — como HTTP, HTTPS, DNS, SMTP e FTP — para estabelecer canais de comando e controle (C2) que se mesclam ao tráfego legítimo de rede. Ao encapsular comúnicações C2 dentro de protocolos amplamente permitidos em firewalls corporativos, os atacantes conseguem manter acesso persistente e oculto a sistemas comprometidos, dificultando a detecção por regras de firewall tradicionais baseadas em porta/protocolo. Frameworks de C2 modernos como Cobalt Strike, Metasploit e implantes personalizados de APTs utilizam perfis de comunicação ("malleable C2 profiles") que imitam tráfego legítimo de navegadores, aplicações SaaS e serviços de CDN. Técnicas como Domain Fronting, uso de CDNs legítimas como Microsoft Azure e Cloudflare, e comunicação via APIs públicas (Slack, GitHub, Twitter) são frequentemente empregadas para mascarar o C2. A detecção requer análise de comportamento de rede: identificar beaconing periódico (intervalos regulares de comunicação), anomalias em User-Agent, JA3 fingerprint de TLS incomum, volumetria de dados incomum para o protocolo, e comunicação com domínios de baixa reputação ou recém-registrados. Ferramentas de NDR (Network Detection and Response) são essenciais para essa análise. ## Indicadores de Detecção - Beaconing HTTP/HTTPS com intervalos regulares (ex: a cada 60s) para destinos externos incomuns - User-Agent string incomum ou não correspondendo ao processo que gerou a conexão - JA3/JA3S fingerprint de TLS não correspondendo a bibliotecas SSL conhecidas - Requisições HTTP com corpo vazio ou cabeçalhos mínimos seguidas de respostas com payloads codificados - Conexão DNS com alta frequência de consultas a subdomínio único ou padrão DGA (Domain Generation Algorithm) - Tráfego HTTPS para IP direto (sem SNI ou com SNI não correspondendo ao certificado) - Processo sem atividade de interface de usuário realizando múltiplas conexões de rede periódicas ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[T1071001-web-protocols|T1071.001 — Web Protocols]] - [[T1071004-dns|T1071.004 — DNS]] - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1090-proxy|T1090 — Proxy]] ## Analytics Relacionadas - [[an1225-analytic-1225|AN1225 — Analytic 1225]] - [[an1226-analytic-1226|AN1226 — Analytic 1226]] - [[an1227-analytic-1227|AN1227 — Analytic 1227]] - [[an1228-analytic-1228|AN1228 — Analytic 1228]] --- *Fonte: [MITRE ATT&CK — DET0444](https://attack.mitre.org/detectionstrategies/DET0444)*