det0457-detection-of-non-application-layer-protocols-for-c2

# DET0457 — Detection of Non-Application Layer Protocols for C2 ## Descrição Adversários avançados utilizam protocolos de camadas inferiores da pilha de rede — como ICMP, IGMP, GRE, raw TCP/UDP e protocolos customizados — para estabelecer canais de C2 que contornam inspeções baseadas em camada de aplicação. Diferentemente do C2 sobre HTTP/HTTPS, comúnicações sobre protocolos não-aplicação são frequentemente ignoradas por firewalls e proxies corporativos que inspecionam apenas tráfego de camada 7. O uso de ICMP para tunneling (ICMP tunneling) é a forma mais conhecida dessa técnica, mas adversários também utilizam encapsulamento de dados em campos de cabeçalho de protocolo subutilizados (como o campo de dados de pacotes ICMP echo), protocolos de tunelamento VPN como GRE e ESP, e comunicação via raw sockets. Ferramentas como `ptunnel`, `icmptunnel` e implantes customizados de APTs foram documentados usando essas abordagens. A detecção requer análise de tráfego em nível de pacote: identificar volume ou frequência anômalos de pacotes ICMP que excedam o esperado para diagnóstico de rede, pacotes com payloads ICMP de tamanho incomum, uso de tipos/códigos ICMP não padrão, e tráfego GRE não encriptado ou com destinos externos não esperados. ## Indicadores de Detecção - Fluxo contínuo de pacotes ICMP echo (tipo 8) com payload de tamanho consistente para IP externo - Pacotes ICMP com campo de dados contendo entropia alta (indicando dados cifrados ou comprimidos) - Tráfego GRE (protocolo IP 47) para destinos externos não listados como concentradores VPN autorizados - Pacotes ICMP em horários regulares simulando beaconing (ex: 1 ping/minuto para mesmo destino) - Uso de raw sockets por processo que não sejá diagnóstico de rede (ping, traceroute) - Volume de dados ICMP excedendo 1KB por minuto sustentado para mesmo destino externo ## Técnicas Relacionadas - [[t1095-non-application-layer-protocol|T1095 — Non-Application Layer Protocol]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1090-proxy|T1090 — Proxy]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] ## Analytics Relacionadas - [[an1254-analytic-1254|AN1254 — Analytic 1254]] - [[an1255-analytic-1255|AN1255 — Analytic 1255]] - [[an1256-analytic-1256|AN1256 — Analytic 1256]] - [[an1257-analytic-1257|AN1257 — Analytic 1257]] - [[an1258-analytic-1258|AN1258 — Analytic 1258]] --- *Fonte: [MITRE ATT&CK — DET0457](https://attack.mitre.org/detectionstrategies/DET0457)*