# DET0837 — Detection of Botnet ## Descrição Adversários adquirem acesso a botnets existentes ou constroem sua própria infraestrutura de bots para distribuir malware em escala, realizar ataques de DDoS, enviar spam de phishing em volume massivo e proxi-ar tráfego de ataque através de IPs residenciais comprometidos. Serviços de botnet são comercializados em fóruns underground como Malware-as-a-Service (MaaS), permitindo que grupos sem capacidade técnica avançada lancem campanhas sofisticadas. No Brasil, botnets como o Grandoreiro têm histórico documentado de manter milhares de sistemas comprometidos no país como infraestrutura para ataques ao setor financeiro. O uso de botnets residenciais (residential proxies) é especialmente insidioso pois o tráfego malicioso origina-se de IPs de usuários domésticos comuns, contornando bloqueios baseados em reputação de IP e tornando a atribuição extremamente difícil. Grupos como [[g0032-lazarus-group]], [[ta505]] e operadores de ransomware utilizam botnets para as fases iniciais de campanha — distribuição de droppers via spam, credential stuffing em escala e reconhecimento massivo de internet. A detecção de infecção por botnet em endpoints da organização baseia-se em identificar padrões de beaconing C2 — comúnicações regulares e periódicas com servidores externos, especialmente em horários incomuns, usando protocolos que diferem do padrão de uso do host. Participação em ataques de DDoS (tráfego de saída em volume anormal para destinos não relacionados à atividade da organização) e uso de sistemas como proxies (tráfego entrante/sainte incomum) são outros indicadores críticos, relacionados a [[T1583.005-acquire-infrastructure-botnet]] e [[t1071-application-layer-protocol|T1071-application-layer-protocol]]. ## Indicadores de Detecção - Beaconing periódico para servidores externos em intervalos regulares de um endpoint corporativo - Tráfego de saída em volume anormal para múltiplos destinos externos não relacionados à atividade esperada - Sistema corporativo funcionando como proxy (tráfego de entrada/saída com padrão de relay) - Conexões a IPs de C2 conhecidos de botnets identificados em feeds de threat intelligence - Processos de sistema (svchost, explorer) com conexões de rede para IPs externos não esperados - Spike de tráfego UDP/TCP de saída de um endpoint sem correspondência com atividade do usuário - Consultas DNS a domínios gerados por algoritmos (DGA) — padrão de caracteres aleatórios longos ## Técnicas Relacionadas - [[T1583.005-acquire-infrastructure-botnet]] — aquisição ou construção de botnet - [[t1071-application-layer-protocol|T1071-application-layer-protocol]] — comunicação C2 de botnet via protocolos legítimos - [[t1090-proxy|T1090-proxy]] — uso de bots como proxies para tráfego de ataque - [[t1498-network-denial-of-service|T1498-network-denial-of-service]] — uso de botnet para ataques DDoS - [[t1566-phishing|T1566-phishing]] — distribuição de phishing em escala via botnet de spam ## Analytics Relacionadas - [[an1969-analytic-1969|AN1969 — Analytic 1969]] --- *Fonte: [MITRE ATT&CK — DET0837](https://attack.mitre.org/detectionstrategies/DET0837)*