det0877-detection-of-dnspassive-dns

# DET0877 — Detection of DNS/Passive DNS ## Descrição A estratégia DET0877 utiliza dados de DNS passivo (pDNS) como fonte primária de inteligência para detecção de infraestrutura adversarial. DNS passivo é a coleta histórica de resoluções DNS que permite rastrear qual IP um domínio resolveu ao longo do tempo, identificar relacionamentos entre domínios e infraestrutura, e detectar uso de técnicas de fast-flux. Essa abordagem transforma registros históricos de DNS em inteligência acionável sobre campanhas de ameaças. Plataformas de pDNS como PassiveTotal (RiskIQ), SecurityTrails, Farsight DNSDB e VirusTotal fornecem histórico de resoluções que permite identificar: domínios recém-registrados que já tiveram múltiplos IPs (fast-flux), domínios compartilhando infraestrutura com domínios maliciosos conhecidos, padrões de DGA em histórico de resoluções, e pivôs entre domínios e IPs de campanha. Adversários raramente conseguem limpar completamente o rastro deixado em bases de pDNS globais. A integração de dados de pDNS no SOC permite correlação em tempo real de resoluções DNS corporativas com inteligência sobre infraestrutura adversarial — um endpoint resolvendo domínio historicamente associado a C2 de grupo APT específico é indicador de alto valor que justifica investigação imediata. ## Indicadores de Detecção - Resolução DNS para IP que historicamente hospedou domínios de C2 conhecidos (pivot via pDNS) - Domínio exibindo padrão de fast-flux em histórico de pDNS (múltiplos IPs em curtos intervalos) - Novo domínio compartilhando mesmo IP que domínios maliciosos conhecidos em pDNS - Consulta DNS para domínio com histórico de resolução para IPs de hosting bulletproof - Padrão de nomenclatura DGA identificado em múltiplas resoluções históricas de pDNS - Domínio corporativo resolvendo para IP diferente do esperado (DNS hijacking indicator) - Cluster de domínios com mesmo registrante WHOIS e IPs sobrepostos em pDNS associado a campanha ## Técnicas Relacionadas - [[T1596.001-dns-passive-dns|T1596.001 — Search Open Technical Databases: DNS/Passive DNS]] - [[t1071-004-dns|T1071.004 — Application Layer Protocol: DNS]] - [[T1568.001-fast-flux-dns|T1568.001 — Dynamic Resolution: Fast Flux DNS]] - [[T1583.001-domains|T1583.001 — Acquire Infrastructure: Domains]] - [[T1584.001-domains|T1584.001 — Compromise Infrastructure: Domains]] - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] ## Analytics Relacionadas - [[an2009-analytic-2009|AN2009 — Analytic 2009]] --- *Fonte: [MITRE ATT&CK — DET0877](https://attack.mitre.org/detectionstrategies/DET0877)*