# DET0843 — Detection of DNS ## Descrição O protocolo DNS é um vetor crítico tanto para reconhecimento quanto para operações pós-comprometimento, sendo explorado por adversários de diversas formas: enumeração de subdomínios e registros de zona para mapeamento de infraestrutura, uso de DNS como canal C2 para evasão de controles de rede (DNS tunneling), exfiltração de dados codificados em consultas DNS, e redirecionamento de DNS para ataques de MITM. A onipresença do tráfego DNS e a dificuldade de bloqueio sem impactar operações legítimas tornam esse protocolo particularmente atrativo para adversários. Grupos como [[g0016-apt29]] e [[g0032-lazarus-group]] documentadamente utilizam DNS tunneling para manter comúnicações C2 em ambientes com controles de saída rigorosos. A enumeração de DNS inclui transferências de zona (AXFR), força bruta de subdomínios com wordlists, análise de histórico de DNS via PassiveDNS, e correlação de registros SPF/DMARC/DKIM para mapear infraestrutura de e-mail. Essas técnicas revelam ativos que não aparecem em varreduras de IP convencionais e são cobertas em [[t1596-search-open-technical-databases|T1596-search-open-technical-databases]]. O abuso do protocolo para C2 via DNS tunneling (ferramentas como `dnscat2`, `iodine`) explora o fato de que consultas DNS são raramente inspecionadas em profundidade e raramente bloqueadas no perímetro. A detecção de abuso de DNS combina múltiplas estrategias: análise de volume e frequência de consultas DNS por host (padrões anômalos de DNS tunneling têm alta frequência e payloads incomuns), monitoramento de registros de domínios suspeitos via DNS response policy zones (RPZ), detecção de consultas para domínios gerados por algoritmos (DGA), e alertas para transferências de zona não autorizadas em servidores DNS autoritativos da organização. A implementação de DNS sobre HTTPS (DoH) por endpoints pode criar pontos cegos se não monitorada adequadamente. ## Indicadores de Detecção - Volume anormalmente alto de consultas DNS de um único host (> 1000/min para DNS tunneling) - Consultas DNS com subdomínios longos contendo caracteres base64 ou hex (exfiltração/C2 via DNS) - Tentativas de transferência de zona AXFR para servidores DNS da organização de IPs externos - Consultas para domínios gerados por algoritmo (DGA) — strings longas aleatórias sem sentido lexical - Resolução de domínios de C2 conhecidos identificados em threat intelligence feeds - Mudanças em registros DNS da organização (A, MX, NS) não autorizadas identificadas via monitoramento - DNS response times anormais em consultas de subdomínios específicos (indicativo de DNS hijacking) ## Técnicas Relacionadas - [[T1071.004-application-layer-protocol-dns]] — DNS como protocolo C2 - [[T1568.002-dynamic-resolution-domain-generation-algorithms]] — DGA para resolução de C2 - [[t1590-gather-victim-network-information|T1590-gather-victim-network-information]] — enumeração de DNS para reconhecimento - [[t1048-exfiltration-over-alternative-protocol|T1048-exfiltration-over-alternative-protocol]] — exfiltração de dados via DNS tunneling - [[T1584.002-compromise-infrastructure-dns-server]] — comprometimento de servidor DNS para redirecionamento ## Analytics Relacionadas - [[an1975-analytic-1975|AN1975 — Analytic 1975]] --- *Fonte: [MITRE ATT&CK — DET0843](https://attack.mitre.org/detectionstrategies/DET0843)*