det0543-detection-strategy-for-encrypted-channel-via-asymmetric-cryptography-acr

# DET0543 — Detection Strategy for Encrypted Channel via Asymmetric Cryptography across OS Platforms ## Descrição O uso de criptografia assimétrica em canais de C2 ([[t1573-002-asymmetric-cryptography|T1573.002 — Asymmetric Cryptography]]) permite que adversários estabeleçam comúnicações C2 criptografadas que resistem à inspeção de tráfego mesmo com SSL/TLS inspection (man-in-the-middle corporativo), pois a chave privada está sob controle do atacante e não é conhecida pelo proxy corporativo. Frameworks C2 modernos como Cobalt Strike (beacon com malleable C2 profile), Brute Ratel, Sliver e Havoc implementam criptografia assimétrica customizada ou TLS com certificados controlados pelo atacante para proteger o canal de comando. A detecção multi-plataforma foca em anomalias no tráfego TLS/SSL que indicam uso de C2 em vez de tráfego web legítimo: certificados autoassinados ou emitidos por CAs não-reconhecidas, certificados com campos Subject/SAN incomuns (strings aleatórias, nomes que imitam Microsoft/Google com erros), uso de JA3/JA3S fingerprints associados a frameworks C2 conhecidos, e padrões de beacon regulares com tamanhos de payload consistentes que diferem do tráfego humano natural. A análise de metadados TLS sem necessidade de descriptografia (passive TLS analysis) via ferramentas como Zeek/Bro, JA3 fingerprinting e análise de Certificaté Transparency logs é a abordagem principal. Hosts que estabelecem conexões TLS para IPs sem registro DNS correspondente, ou com certificados emitidos poucos dias antes da conexão, são indicadores de infra de C2 recém-estabelecida. A integração com feeds de inteligência de infraestrutura C2 conhecida eleva significativamente a detecção. ## Indicadores de Detecção - Certificado TLS autoassinado ou de CA não-reconhecida em conexão de processo que não sejá navegador ou aplicação legítima - JA3 fingerprint de conexão TLS correspondendo a assinaturas conhecidas de Cobalt Strike, Sliver ou outros frameworks C2 - Conexão TLS para IP sem registro DNS reverso ou com TTL de DNS muito baixo (< 60s — fast-flux) - Certificado TLS emitido há menos de 7 dias por Let's Encrypt para domínio com alta entropia de caracteres - Beacon TLS com intervalo regular (ex: a cada 60s ± jitter pequeno) e payload de tamanho consistente - Processo que não sejá navegador ou aplicação corporativa conhecida estabelecendo conexões TLS para múltiplos IPs distintos ## Técnicas Relacionadas - [[t1573-002-asymmetric-cryptography|T1573.002 — Asymmetric Cryptography]] — técnica principal coberta por esta estratégia - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] — categoria ampla de canais C2 criptografados - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] — C2 via protocolos de aplicação (HTTP/S, DNS) - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] — tunelamento de tráfego C2 em protocolos legítimos - [[t1090-proxy|T1090 — Proxy]] — uso de proxies para ofuscar origem/destino do C2 criptografado ## Analytics Relacionadas - [[an1496-analytic-1496|AN1496 — Analytic 1496]] - [[an1497-analytic-1497|AN1497 — Analytic 1497]] - [[an1498-analytic-1498|AN1498 — Analytic 1498]] - [[an1499-analytic-1499|AN1499 — Analytic 1499]] - [[an1500-analytic-1500|AN1500 — Analytic 1500]] --- *Fonte: [MITRE ATT&CK — DET0543](https://attack.mitre.org/detectionstrategies/DET0543)*