# DET0871 — Detection of Server ## Descrição A estratégia DET0871 foca na detecção de servidores configurados ou comprometidos por adversários para suporte a operações maliciosas. Isso inclui servidores de C2, servidores de phishing, servidores de distribuição de malware, redirectores e proxies usados para anonimizar o tráfego adversarial. A aquisição de servidores dedicados (VPS, servidores físicos em data centers) ou o comprometimento de servidores legítimos são etapas críticas na construção de infraestrutura de ataque. Adversários preferem servidores em jurisdições com pouca cooperação internacional para dificultar takedowns, e frequentemente utilizam servidores comprometidos de organizações legítimas (hopping através de infraestrutura de vítimas anteriores) para tornar a atribuição mais difícil. Servidores de hosting "bulletproof" — provedores que ignoram solicitações de abuso — são frequentemente utilizados por grupos de crime cibernético. A detecção envolve correlação de IPs e domínios de servidores suspeitos com feeds de threat intelligence, análise de padrões de comunicação de rede (beaconing, heartbeat de C2), e monitoramento de indicadores de comprometimento de servidores próprios que possam ter sido recrutados como parte de infraestrutura adversarial. ## Indicadores de Detecção - Comúnicação de endpoint corporativo com servidor em ASN de hosting bulletproof conhecido - Padrão de beaconing de rede (intervalos regulares de comunicação) para servidor externo suspeito - Servidor próprio realizando conexões de saída incomuns após indicadores de comprometimento - IP de servidor C2 identificado em múltiplos feeds de inteligência de ameaças ativos - Servidor web respondendo a requisições de clientes com payload malicioso (drive-by download) - Comúnicação criptografada de processo do sistema para servidor recém-provisionado - Servidor externo realizando varredura sistemática de portas da infraestrutura corporativa ## Técnicas Relacionadas - [[T1583.004-server|T1583.004 — Acquire Infrastructure: Server]] - [[T1584.004-server|T1584.004 — Compromise Infrastructure: Server]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1090-proxy|T1090 — Proxy]] - [[t1102-web-service|T1102 — Web Service]] - [[T1608.005-link-target|T1608.005 — Stage Capabilities: Link Target]] ## Analytics Relacionadas - [[an2003-analytic-2003|AN2003 — Analytic 2003]] --- *Fonte: [MITRE ATT&CK — DET0871](https://attack.mitre.org/detectionstrategies/DET0871)*