# T1568.001 - Fast Flux DNS ## Técnica Pai Esta é uma sub-técnica de [[t1568-dynamic-resolution|T1568 - T1568 - Dynamic Resolution]]. ## Descrição Fast Flux DNS é uma técnica de evasão utilizada por adversários para ocultar a infraestrutura de comando e controle (C2) por trás de um conjunto de endereços IP em constante rotação, todos associados a um único nome de domínio. A rotação é extremamente rápida - tipicamente a cada poucos minutos - combinando balanceamento round-robin no DNS com valores de TTL (Time-To-Live) muito curtos, geralmente entre 60 e 300 segundos. O resultado é que qualquer tentativa de bloquear o C2 por IP se torna ineficaz quase imediatamente. A variante mais simples, chamada de **single-flux**, altera continuamente os registros DNS do tipo A do domínio, alternando entre dezenas ou centenas de IPs comprometidos que atuam como proxies. Cada um desses nós encaminha o tráfego para o servidor C2 real, que permanece oculto. Já a variante **double-flux** vai além: além de rotacionar os registros A, também altera os registros NS (Name Server) da zona DNS, adicionando uma segunda camada de ofuscação e tornando o rastreamento até o servidor real significativamente mais difícil para analistas e infraestrutura de defesa. Grupos como [[ta505|TA505]] e [[g0047-gamaredon|Gamaredon Group]] utilizam essa técnica para manter resiliência operacional mesmo quando partes da infraestrutura são derrubadas por takedowns ou bloqueios de ISP. As botnets que servem como nós de relay são frequentemente compostas por máquinas de usuários comuns infectadas, espalhadas geograficamente para dificultar ação coordenada. **Contexto Brasil/LATAM:** No contexto brasileiro, Fast Flux DNS é amplamente explorado por operadores de botnets financeiras e grupos de crime cibernético que visam o setor bancário e de e-commerce. A dependência de ISPs regionais com menor capacidade de resposta a abuso, combinada com a alta densidade de dispositivos infectados (incluindo roteadores domésticos e máquinas Windows desatualizadas), faz do Brasil um terreno fértil para a construção de redes de relay usadas em campanhas de Fast Flux. Incidentes envolvendo [[s1025-amadey|Amadey]] e [[s0385-njrat|njRAT]] distribuídos no Brasil apresentam infraestrutura C2 com características de Fast Flux. ## Attack Flow ```mermaid graph TB A[Infecção Inicial] --> B[Registro domínio C2] B --> C[Fast Flux DNS] C --> D[Comúnicação C2] D --> E[Exfiltração/Comando] ``` ## Como Funciona **1. Preparação** O adversário registra um domínio com um registrador que tolera TTLs baixos. Em seguida, configura dezenas ou centenas de hosts comprometidos como nós de relay - geralmente bots de uma botnet já estabelecida. Cada nó recebe um IP que será rotacionado nos registros DNS. **2. Execução** O malware implantado na vítima resolve o domínio C2. O servidor DNS autoritativo retorna um IP de relay diferente a cada consulta (round-robin), com TTL de 60–300 segundos. O tráfego chega ao nó de relay, que o encaminha para o servidor C2 real. No modelo double-flux, até os servidores NS responsáveis pela zona são substituídos com frequência. **3. Pós-execução** Mesmo que analistas identifiquem e bloqueiem alguns IPs de relay, o domínio continua funcional porque novos IPs são injetados na rotação em minutos. Isso garante disponibilidade contínua do canal C2 e frustra bloqueios baseados em IoC de IP. **Exemplo:** ```bash # Consultas consecutivas ao mesmo domínio retornam IPs distintos dig +short evil-c2.example.com # 203.0.113.42 dig +short evil-c2.example.com # 198.51.100.17 dig +short evil-c2.example.com # 192.0.2.88 # TTL anormalmente baixo é um indicador relevante dig evil-c2.example.com | grep -i ttl # evil-c2.example.com. 60 IN A 203.0.113.42 ``` ## Detecção **Fontes de dados:** DNS query logs (Windows DNS Debug Log, Sysmon EventID 22), firewall/proxy logs, passive DNS (PDNS), NetFlow ```yaml title: Fast Flux DNS - Rapid IP Rotation Detection id: 7a3f2c1d-9e84-4b56-a321-fd0c8e7b1234 status: experimental description: Detecta domínios com múltiplos IPs distintos em curto intervalo de tempo e TTL anormalmente baixo, indicativo de Fast Flux DNS logsource: category: dns product: windows detection: selection: EventID: 22 filter_ttl: QueryResults|contains: 'type: 1' condition: selection falsepositives: - CDNs e load balancers legítimos com múltiplos IPs - Serviços de alta disponibilidade com DNS round-robin level: medium tags: - attack.command_and_control - attack.t1568.001 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]] | Configurar IDS/IPS para alertar em domínios com TTL < 300s e múltiplos A records distintos em jánelas curtas | | [[m1021-restrict-web-based-content\|M1021 - Restrict Web-Based Content]] | Usar DNS resolvers com filtragem de reputação (ex: Quad9, Cisco Umbrella) que bloqueiam domínios com comportamento de Fast Flux | ## Referências *Fonte: [MITRE ATT&CK - T1568.001](https://attack.mitre.org/techniques/T1568/001)*