det0470-detecting-protocol-or-service-impersonation-via-anomalous-tls-http-heade

# DET0470 — Detecting Protocol or Service Impersonation via Anomalous TLS, HTTP Header, and Port Mismatch Correlation ## Descrição A técnica de impersonação de protocolo ou serviço envolve fazer tráfego malicioso parecer tráfego legítimo de aplicações e serviços conhecidos, utilizando cabeçalhos HTTP falsificados, certificados TLS que imitam serviços legítimos ou configurações de porta que sugerem serviços específicos mas carregam conteúdo diferente. Essa técnica é utilizada principalmente para mascarar canais de C2 e dificultar a inspeção de tráfego por sistemas de detecção que confiam em assinaturas de protocolo. Frameworks de C2 modernos como Cobalt Strike com "malleable profiles", Brute Ratel e implantes personalizados de APTs implementam perfis de comunicação que imitam serviços populares: tráfego DNS-over-HTTPS imitando consultas legítimas, comunicação HTTPS com headers que imitam navegadores específicos, e chamadas de API que se parecem com serviços SaaS conhecidos. A discrepância entre o protocolo esperado para uma porta e o conteúdo real trafegado é um indicador crítico. A detecção baseada em correlação múltipla é mais eficaz: cruzar o JA3 fingerprint TLS com o serviço esperado na porta, verificar coerência de User-Agent com o JA3 e com o processo que gerou a conexão, e identificar discrepâncias entre o SNI do TLS e o Subject do certificado apresentado. ## Indicadores de Detecção - JA3 fingerprint TLS associado a malware conhecido (lista de JA3 hashes maliciosos de threat intelligence) - Discrepância entre User-Agent HTTP e o JA3/JA3S fingerprint esperado para aquele navegador/cliente - Porta 443 sendo usada com protocolo não-TLS ou com TLS de versão muito antiga (TLS 1.0, SSL 3.0) - SNI no handshake TLS não correspondendo ao Subject ou SANs do certificado apresentado pelo servidor - Certificado autoassinado ou de CA desconhecida para conexão em porta de serviço legítimo bem conhecido - Tráfego HTTP com header `Host` apontando para IP em vez de hostname (indicando evasão de SNI-based filtering) ## Técnicas Relacionadas - [[T1001003-protocol-impersonation|T1001.003 — Protocol Impersonation]] - [[t1001-data-obfuscation|T1001 — Data Obfuscation]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1090-proxy|T1090 — Proxy]] ## Analytics Relacionadas - [[an1294-analytic-1294|AN1294 — Analytic 1294]] - [[an1295-analytic-1295|AN1295 — Analytic 1295]] - [[an1296-analytic-1296|AN1296 — Analytic 1296]] - [[an1297-analytic-1297|AN1297 — Analytic 1297]] --- *Fonte: [MITRE ATT&CK — DET0470](https://attack.mitre.org/detectionstrategies/DET0470)*