# DET0891 — Detection of DNS Server ## Descrição A estratégia DET0891 complementa a DET0862 com foco em aspectos distintos da detecção de infraestrutura DNS adversarial, específicamente o uso de servidores DNS para tunelamento e exfiltração. O tunelamento DNS é uma técnica avançada que encapsula dados arbitrários em consultas e respostas DNS para exfiltrar informações ou estabelecer canal de C2 oculto que contorna firewalls e proxies que inspecionam apenas tráfego HTTP/S. Ferramentas como dnscat2, iodine e Cobalt Strike DNS beaconing são amplamente utilizadas para comunicação de C2 via DNS. O tráfego DNS é frequentemente inspecionado de forma superficial por soluções de segurança, e muitas organizações permitem DNS de saída irrestrito, tornando esse canal particularmente eficaz para evasão. A exfiltração via DNS é mais lenta que outros métodos, mas extremamente difícil de detectar sem análise específica de padrões de consulta DNS. A detecção de tunelamento DNS requer análise de: volume de consultas DNS por host (alto volume indica possível exfiltração), entropia de subdomínios consultados (alta entropia sugere dados codificados em base64/hex), tamanho incomum de registros TXT nas respostas, e frequência de consultas para domínios de zona única. Soluções de DNS seguro com análise de comportamento (Cisco Umbrella, Cloudflare Gateway) automatizam parte dessa detecção. ## Indicadores de Detecção - Host consultando domínio com subdomínios de alta entropia (>4.0 bits/char) frequentemente - Volume de consultas DNS de host específico superior a 10x a média do ambiente em 1 hora - Registro TXT em resposta DNS contendo string codificada em base64 de tamanho incomum - Consulta DNS tipo NULL ou ANY a domínio não identificado em whitelist corporativa - Intervalo de consultas DNS extremamente regular de processo específico (beaconing indicator) - Resposta DNS com tamanho de payload acima de 512 bytes sem uso de EDNS documentado - Correlação de host realizando consultas DNS anômalas com outros indicadores de comprometimento ## Técnicas Relacionadas - [[T1583.002-dns-server|T1583.002 — Acquire Infrastructure: DNS Server]] - [[T1048.003-exfiltration-over-dns|T1048.003 — Exfiltration Over Alternative Protocol: DNS]] - [[t1071-004-dns|T1071.004 — Application Layer Protocol: DNS]] - [[T1568.002-domain-generation-algorithms|T1568.002 — Dynamic Resolution: Domain Generation Algorithms]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1090-proxy|T1090 — Proxy]] ## Analytics Relacionadas - [[an2023-analytic-2023|AN2023 — Analytic 2023]] --- *Fonte: [MITRE ATT&CK — DET0891](https://attack.mitre.org/detectionstrategies/DET0891)*