det0898-detection-of-spoofed-user-agent

# DET0898 — Detection of Spoofed User-Agent ## Descrição A estratégia DET0898 trata da detecção de spoofing de User-Agent em comúnicações HTTP/S — técnica em que malware, ferramentas de C2 ou adversários falsificam o cabeçalho User-Agent para mascarar a natureza do tráfego malicioso como comunicação legítima de navegador, aplicativo de sistema ou cliente específico. Frameworks de C2 como Cobalt Strike, Sliver e Havoc permitem configuração de User-Agents realistas para contornar soluções de segurança que filtram com base nesse cabeçalho. Adversários utilizam User-Agents de navegadores populares (Chrome, Firefox, Edge), clientes de sistema operacional (Windows Updaté, Microsoft Office), ou aplicações específicas reconhecidas para fazer o tráfego de C2 parecer legítimo em inspeção superficial. Técnicas mais sofisticadas incluem user-agent matching com o browser real do sistema infectado, rotação periódica de User-Agents, e uso de user-agents de versões de software correspondentes ao sistema operacional da vítima para maior realismo. A detecção eficaz vai além da análise isolada do User-Agent: é necessário correlacionar o User-Agent declarado com outras características da sessão HTTP (cabeçalhos Accept-Language, Accept-Encoding, TLS fingerprint JA3/JA3S) para identificar inconsistências que revelam spoofing. Um processo que declara ser Chrome mas apresenta fingerprint TLS incompatível com o Chrome real é um indicador forte de evasão. ## Indicadores de Detecção - User-Agent de navegador com versão obsoleta ou inconsistente com sistema operacional do host - Processo de sistema (svchost, scheduled task) realizando requisições HTTP com User-Agent de navegador - Inconsistência entre User-Agent declarado e fingerprint TLS JA3/JA3S da conexão - User-Agent listado em feeds de inteligência como associado a framework de C2 específico - Rotação de User-Agent em sessão HTTP de processo único sem lógica de negócio aparente - User-Agent de cliente mobile em conexão originada de servidor ou estação de trabalho corporativa - Padrão de requisições com User-Agent genérico ou malformado para URL de recurso crítico ## Técnicas Relacionadas - [[t1071-001-web-protocols|T1071.001 — Application Layer Protocol: Web Protocols]] - [[T1090.004-domain-fronting|T1090.004 — Proxy: Domain Fronting]] - [[t1027-obfuscated-files|T1027 — Obfuscated Files or Information]] - [[t1001-data-obfuscation|T1001 — Data Obfuscation]] - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] ## Analytics Relacionadas - [[an2029-analytic-2029|AN2029 — Analytic 2029]] - [[an2031-analytic-2031|AN2031 — Analytic 2031]] - [[an2032-analytic-2032|AN2032 — Analytic 2032]] --- *Fonte: [MITRE ATT&CK — DET0898](https://attack.mitre.org/detectionstrategies/DET0898)*