det0485-detection-strategy-for-dynamic-resolution-using-fast-flux-dns

# DET0485 — Detection Strategy for Dynamic Resolution using Fast Flux DNS ## Descrição Fast Flux DNS é uma técnica de evasão de rede em que adversários associam um único nome de domínio a múltiplos endereços IP que rotacionam rapidamente, com TTLs muito baixos (tipicamente 60-300 segundos). Isso dificulta bloqueios baseados em IP e torna a takedown de infraestrutura de C2 extremamente complexa. A técnica é mapeada como [[T1568.001-dynamic-resolution-fast-flux-dns|T1568.001 — Dynamic Resolution: Fast Flux DNS]] no MITRE ATT&CK e é amplamente utilizada por botnets, ransomware e grupos APT para proteger infraestrutura de comando e controle. A detecção eficaz analisa padrões de resolução DNS: TTLs anormalmente baixos para domínios consultados, alta variância de endereços IP retornados para o mesmo FQDN em curto intervalo de tempo e uso de registros DNS com múltiplos IPs pertencentes a diferentes ASNs (redes autônomas). Domínios com algoritmos de geração (DGAs) frequentemente combinam Fast Flux com rotação de domínios para redundância adicional. Infraestruturas de [[s0367-emotet|Emotet]], [[s0650-qakbot|QakBot]] e campanhas de ransomware documentadamente utilizam Fast Flux. A análise passiva de DNS (pDNS) permite identificar o comportamento de Fast Flux retroativamente, enquanto a detecção em tempo real requer captura e análise de respostas DNS no gateway ou em resolvers internos. Correlação com listas de reputação de ASN e geolocalização dos IPs retornados aumenta a fidelidade de detecção. ## Indicadores de Detecção - Domínio retornando diferentes endereços IP a cada resolução com TTL menor que 300 segundos - Mesmo FQDN com registros A apontando para IPs em 5 ou mais ASNs distintos no mesmo dia - Alta frequência de consultas DNS para o mesmo domínio com respostas NXDOMAIN intercaladas (rotação) - Domínio recém-registrado (< 30 dias) com padrão de Fast Flux correspondendo a campanha ativa - Múltiplos hosts internos consultando o mesmo domínio Fast Flux em curto intervalo (indicativo de malware) - Requisições DNS com volume anômalo para domínios com nomes gerados algoritmicamente (DGA) - IP retornado em resolução Fast Flux presente em listas de ameaças ou blocklists de abuse.ch ## Técnicas Relacionadas - [[T1568.001-dynamic-resolution-fast-flux-dns|T1568.001 — Fast Flux DNS]] - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1071-004-dns|T1071.004 — DNS]] - [[t1090-proxy|T1090 — Proxy]] - [[t1008-fallback-channels|T1008 — Fallback Channels]] ## Analytics Relacionadas - [[an1331-analytic-1331|AN1331 — Analytic 1331]] - [[an1332-analytic-1332|AN1332 — Analytic 1332]] - [[an1333-analytic-1333|AN1333 — Analytic 1333]] - [[an1334-analytic-1334|AN1334 — Analytic 1334]] --- *Fonte: [MITRE ATT&CK — DET0485](https://attack.mitre.org/detectionstrategies/DET0485)*