det0862-detection-of-dns-server

# DET0862 — Detection of DNS Server ## Descrição A estratégia DET0862 foca na detecção de adversários que configuram ou comprometem servidores DNS para suporte a operações maliciosas. Servidores DNS controlados por adversários são fundamentais para infraestrutura de C2 com fast-flux, resolução de domínios gerados algoritmicamente (DGA), tunelamento DNS para exfiltração de dados e redirecionamento de tráfego legítimo via DNS hijacking ou poisoning. A configuração de servidores DNS autoritativos para domínios maliciosos permite que adversários atualizem rapidamente os registros para apontar para nova infraestrutura quando endereços são bloqueados — técnica conhecida como fast-flux DNS. Adversários também comprometem resolvers DNS de organizações para redirecionar consultas de usuários legítimos, possibilitando ataques man-in-the-middle em larga escala. A detecção inclui monitoramento de consultas DNS anômalas (alta entropia nos subdomínios, consultas excessivamente longas indicando tunelamento), análise de TTL anormalmente baixo (fast-flux), verificação de DNSSEC para domínios críticos, e correlação com feeds de inteligência sobre domínios e IPs de servidores DNS maliciosos conhecidos. ## Indicadores de Detecção - Consulta DNS com subdomínio de alta entropia (indicador de DGA ou tunelamento DNS) - Registro DNS com TTL inferior a 60 segundos (padrão fast-flux) - Resolução DNS retornando endereço IP diferente do esperado para domínio corporativo - Volume anormal de consultas DNS tipo TXT ou NULL de processo específico - Consulta DNS para domínio recém-registrado (menos de 30 dias) por processo crítico do sistema - Servidor DNS interno respondendo a consultas recursivas de IPs externos (open resolver) - Alteração não autorizada de registro NS ou MX de domínio corporativo ## Técnicas Relacionadas - [[T1583.002-dns-server|T1583.002 — Acquire Infrastructure: DNS Server]] - [[t1071-004-dns|T1071.004 — Application Layer Protocol: DNS]] - [[T1568.001-fast-flux-dns|T1568.001 — Dynamic Resolution: Fast Flux DNS]] - [[T1568.002-domain-generation-algorithms|T1568.002 — Dynamic Resolution: Domain Generation Algorithms]] - [[T1048.003-exfiltration-over-dns|T1048.003 — Exfiltration Over Alternative Protocol: DNS]] - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] ## Analytics Relacionadas - [[an1994-analytic-1994|AN1994 — Analytic 1994]] --- *Fonte: [MITRE ATT&CK — DET0862](https://attack.mitre.org/detectionstrategies/DET0862)*