det0883-detection-of-botnet

# DET0883 — Detection of Botnet ## Descrição A estratégia DET0883 foca na detecção de uso ou comprometimento de infraestrutura de botnet por adversários. Botnets são redes de dispositivos comprometidos (bots) controlados centralmente que fornecem capacidades massivas de computação distribuída para ataques de DDoS, envio de spam/phishing em escala, mineração de criptomoedas, proxying de tráfego malicioso e distribuição de malware. Adversários alugam acesso a botnets (CaaS — Crime as a Service) ou constroem os próprios. Famílias de botnet como Mirai, Emotet (em seu pico de atividade), QakBot e TrickBot comprometeram milhões de dispositivos globalmente. No contexto de LATAM, botnets baseadas em roteadores domésticos e câmeras IoT são frequentemente utilizadas para ataques contra alvos regionais. A infraestrutura de botnet também é usada como camada de proxy para ocultar a origem real de ataques direcionados. A detecção de infecção botnet em endpoints corporativos se baseia em: comportamento de beaconing periódico para servidores C2, participação em atividades coordenadas de scanning ou envio de spam, download de payloads adicionais de URLs de botnet conhecidas, e correlação com feeds de inteligência sobre IPs de C2 de botnets ativos (Feodo Tracker, Abuse.ch). ## Indicadores de Detecção - Endpoint corporativo enviando tráfego para IP de C2 de botnet listado em Feodo Tracker ou similar - Padrão de beaconing com intervalo fixo e jitter mínimo em tráfego de saída de host suspeito - Host corporativo participando de scan distribuído ou ataque DDoS direcionado a terceiros - Conexão a servidor IRC ou port 6667 por processo sem contexto de uso de IRC em ambiente corporativo - Download de payload de URL de distribuição de botnet conhecida (MalwareBazaar IoC) - Alto volume de e-mails de saída de host corporativo (indicador de bot spam) - Processo com comportamento de propagação tentando se conectar a múltiplos hosts internos em sequência ## Técnicas Relacionadas - [[T1583.005-botnet|T1583.005 — Acquire Infrastructure: Botnet]] - [[T1584.005-botnet|T1584.005 — Compromise Infrastructure: Botnet]] - [[t1498-network-denial-of-service|T1498 — Network Denial of Service]] - [[t1499-endpoint-denial-of-service|T1499 — Endpoint Denial of Service]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1090-proxy|T1090 — Proxy]] ## Analytics Relacionadas - [[an2015-analytic-2015|AN2015 — Analytic 2015]] --- *Fonte: [MITRE ATT&CK — DET0883](https://attack.mitre.org/detectionstrategies/DET0883)*