det0538-detection-strategy-for-protocol-tunneling-accross-os-platforms

# DET0538 — Detection Strategy for Protocol Tunneling accross OS platforms. ## Descrição O tunelamento de protocolo ([[t1572-protocol-tunneling|T1572 — Protocol Tunneling]]) encapsula tráfego de C2 ou exfiltração dentro de protocolos legítimos e frequentemente permitidos por firewalls, como DNS, HTTP/HTTPS, ICMP ou SSH. Esta técnica é amplamente utilizada por APTs e ferramentas de post-exploitation (Cobalt Strike DNS beacon, ICMP tunneling via `icmpsh`, DNS-over-HTTPS para ofuscar consultas C2, SSH reverse tunnels) para contornar inspeção de tráfego de rede e regras de firewall que bloqueiam protocolos menos comuns. O tunelamento DNS é particularmente prevalente por sua dificuldade de bloqueio sem impactar operações legítimas. A detecção multi-plataforma abrange diferentes características por protocolo: DNS tunneling manifesta-se como volume anormalmente alto de queries DNS para um único domínio, queries com subdomínios longos ou com alta entropia de caracteres (dado codificado em Base64/Hex), ou respostas TXT/NULL records com payloads incomuns. ICMP tunneling apresenta payloads ICMP de tamanho não-padrão ou com alta entropia. HTTP/HTTPS tunneling pode ser detectado por análise de frequência e tamanho de requests, embora sejá mais difícil com criptografia TLS. A estratégia requer análise de protocolos em profundidade (DPI) e baselines de comportamento de DNS por host. Ferramentas especializadas de DNS analytics (Zeek/Bro DNS scripts, Infoblox Threat Intelligence) são eficazes para detecção de DNS tunneling. O volume de dados por query DNS, o número de subdomínios únicos por domínio e a taxa de queries por segundo são as métricas-chave. A correlação entre hosts que fazem DNS tunneling e outras atividades suspeitas (movimento lateral, acesso a dados sensíveis) estabelece contexto de ataque completo. ## Indicadores de Detecção - Volume anormal de queries DNS para um único domínio de segundo nível (> 100 queries/hora por host) - Subdomínios DNS com comprimento > 50 caracteres ou com alta entropia (possível dado codificado) - Registros TXT ou NULL DNS com payloads codificados em Base64 ou Hex de tamanho > 100 bytes - ICMP packets com payload > 64 bytes ou com dados de alta entropia (padrão não-padrão) - Conexões SSH de longa duração (> 1h) sem atividade de teclado detectável (reverse tunnel silencioso) - Beacon HTTP/HTTPS com intervalo regular e tamanho de request consistente de processo não-browser ## Técnicas Relacionadas - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] — técnica principal coberta por esta estratégia - [[t1071-004-dns|T1071.004 — DNS]] — C2 via resolução DNS como alternativa ao tunelamento - [[t1090-proxy|T1090 — Proxy]] — uso de proxies para ofuscar destino do tráfego C2 - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] — exfiltração usando tunelamento de protocolo - [[t1205-traffic-signaling|T1205 — Traffic Signaling]] — técnica correlata de comunicação C2 furtiva ## Analytics Relacionadas - [[an1483-analytic-1483|AN1483 — Analytic 1483]] - [[an1484-analytic-1484|AN1484 — Analytic 1484]] - [[an1485-analytic-1485|AN1485 — Analytic 1485]] - [[an1486-analytic-1486|AN1486 — Analytic 1486]] --- *Fonte: [MITRE ATT&CK — DET0538](https://attack.mitre.org/detectionstrategies/DET0538)*