det0499-behavioral-detection-of-fallback-or-alternate-c2-channels

# DET0499 — Behavioral Detection of Fallback or Alternate C2 Channels ## Descrição Canais de C2 de fallback ou alternativos são mecanismos de redundância implementados por adversários para manter comunicação com sistemas comprometidos mesmo quando o canal primário é bloqueado ou detectado. Esses canais alternativos podem incluir diferentes protocolos (DNS, ICMP, HTTP sobre portas não padrão), diferentes domínios de C2 (gerados por DGA ou pré-configurados), ou uso de plataformas legítimas (GitHub, Twitter, Pastebin) como dead drops para comandos. A técnica é mapeada como [[t1008-fallback-channels|T1008 — Fallback Channels]] no MITRE ATT&CK. Implants avançados como [[s0154-cobalt-strike|Cobalt Strike]] (configuração de múltiplos Malleable C2 profiles), [[metasploit|Metasploit]] e malwares de APTs nação-estado implementam hierarquias de canais de comunicação: quando o canal primário (ex: HTTP/443) é bloqueado, o implant tenta automaticamente canais alternativos em sequência. A detecção de fallback é indicativa de que defesas de rede parcialmente funcionaram — a tentativa de fallback revela que o implant ainda está ativo. A estratégia de detecção monitora transições de protocolo ou destino em comúnicações de rede por processos suspeitos: um processo que normalmente se comúnica via HTTP que subitamente tenta DNS-over-HTTPS ou conexões ICMP para o mesmo IP de destino é um forte indicador de fallback de C2. A correlação de múltiplos canais de comunicação de saída em curto intervalo de tempo por um único processo é um sinal de ativação de mecanismo de fallback. ## Indicadores de Detecção - Processo alternando protocolo de comunicação (HTTP → DNS → ICMP) para o mesmo IP de destino em sequência - Consultas DNS para múltiplos domínios gerados algoritmicamente em sequência rápida (tentativa de DGA fallback) - Processo tentando conexão para lista pré-configurada de IPs/domínios de C2 em ordem após falha do primário - Comúnicação para plataforma legítima (GitHub API, Pastebin) por processo sem histórico de tal comunicação - Tráfego DNS com alta entropia de nomes de subdomínios indicando DNS tunneling como canal de fallback - Conexão ICMP com payload de tamanho incomum ou padrão de data irregular (C2 via ICMP) - Processo estabelecendo nova conexão C2 para IP em ASN diferente logo após bloqueio do canal anterior ## Técnicas Relacionadas - [[t1008-fallback-channels|T1008 — Fallback Channels]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1071-004-dns|T1071.004 — DNS]] - [[t1095-non-application-layer-protocol|T1095 — Non-Application Layer Protocol]] - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] ## Analytics Relacionadas - [[an1376-analytic-1376|AN1376 — Analytic 1376]] - [[an1377-analytic-1377|AN1377 — Analytic 1377]] - [[an1378-analytic-1378|AN1378 — Analytic 1378]] - [[an1379-analytic-1379|AN1379 — Analytic 1379]] --- *Fonte: [MITRE ATT&CK — DET0499](https://attack.mitre.org/detectionstrategies/DET0499)*