# DET0863 — Detection of Domains ## Descrição A estratégia DET0863 visa detectar o registro e uso de domínios por adversários para suporte a operações maliciosas. Domínios maliciosos são utilizados como infraestrutura de C2, landing pages de phishing, sites de distribuição de malware, e para impersonar marcas e organizações legítimas em ataques de engenharia social. O registro de domínios é geralmente o primeiro passo na construção de infraestrutura de ataque. Adversários empregam diversas técnicas para criar domínios de difícil detecção: typosquatting (variações ortográficas de domínios legítimos), homograph attacks (caracteres únicode visualmente similares), combosquatting (adição de palavras como "secure", "login", "verify"), e uso de domínios expirados com histórico de reputação limpo. Registros em TLDs menos comuns ou com políticas de registro laxas são preferidos para reduzir custo e dificultar takedown. Feeds de inteligência sobre domínios recém-registrados (ex: newly-registered-domains de Cloudflare Radar, DomainTools Iris, WhoisXML API) e sistemas de detecção de similaridade de domínio são ferramentas críticas para antecipar ataques de phishing antes que e-mails maliciosos sejam enviados. ## Indicadores de Detecção - Domínio com similaridade fonética ou tipográfica elevada a marca corporativa recém-registrado - Domínio registrado com privacidade WHOIS e certificado Let's Encrypt em mesma data de criação - Requisição DNS de usuário para domínio com menos de 7 dias de existência - Domínio presente em feeds de inteligência como typosquatting de domínio corporativo - Múltiplos domínios registrados pelo mesmo registrante com padrão de nomenclatura similar ao alvo - Domínio expirado de marca conhecida sendo re-registrado por entidade desconhecida - Acesso a domínio suspeito originado de processo de negócio crítico (ERP, CRM) ## Técnicas Relacionadas - [[T1583.001-domains|T1583.001 — Acquire Infrastructure: Domains]] - [[T1584.001-domains|T1584.001 — Compromise Infrastructure: Domains]] - [[t1566-002-spearphishing-link|T1566.002 — Phishing: Spearphishing Link]] - [[T1598.003-spearphishing-link|T1598.003 — Phishing for Information: Spearphishing Link]] - [[t1071-001-web-protocols|T1071.001 — Application Layer Protocol: Web Protocols]] - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] ## Analytics Relacionadas - [[an1995-analytic-1995|AN1995 — Analytic 1995]] --- *Fonte: [MITRE ATT&CK — DET0863](https://attack.mitre.org/detectionstrategies/DET0863)*