# T1568 - Resolução Dinâmica (Dynamic Resolution)
## Descrição
A técnica de **resolução dinâmica** permite que adversários estabeleçam conexões com sua infraestrutura de comando e controle (C2) de forma adaptativa, sem depender de endereços IP ou domínios estáticos que possam ser facilmente bloqueados ou monitorados. Em vez de embutir no malware uma lista fixa de servidores C2, os operadores implementam algoritmos ou mecanismos que calculam ou descobrem dinâmicamente para onde o implante deve se conectar - tornando o bloqueio por lista de IoCs muito menos eficaz.
A lógica central dessa técnica é o compartilhamento de um algoritmo ou protocolo entre o malware e a infraestrutura do atacante. Quando o implante precisa se comúnicar, ele executa o algoritmo localmente - que pode ser baseado em tempo, em valores DNS ou em sequências de domínios gerados matematicamente - e a infraestrutura do atacante faz o mesmo cálculo para saber quais domínios ou IPs estarão "ativos" naquele momento. Grupos como [[g0016-apt29|APT29]] e [[g0047-gamaredon|Gamaredon Group]] empregam variações dessa técnica para manter acesso persistente mesmo quando partes da infraestrutura são derrubadas.
Essa técnica serve também como mecanismo de recuperação: quando o contato com o servidor C2 primário é perdido, o malware utiliza resolução dinâmica para reestabelecer o canal - funcionando como [[t1008-fallback-channels|T1008 - Fallback Channels]]. As três sub-técnicas principais são [[t1568-001-fast-flux-dns|T1568.001 - Fast Flux DNS]], [[t1568-002-domain-generation-algorithms|T1568.002 - DGA]], e [[t1568-003-dns-calculation|T1568.003 - DNS Calculation]], cada uma com características operacionais distintas.
**Contexto Brasil/LATAM:** Resolução dinâmica é uma técnica especialmente preocupante para o Brasil porque infraestruturas de C2 com Fast Flux e DGA frequentemente utilizam domínios registrados em ccTLDs regionais (como `.com.br`) para aumentar a aparência de legitimidade e dificultar o takedown. Grupos como [[g1042-redecho|RedEcho]], associados a operações de espionagem em infraestrutura crítica da Ásia, usam variações dessa técnica que foram documentadas em relatórios de inteligência com possíveis implicações para parceiros comerciais brasileiros no setor de energia e telecomúnicações. Organizações brasileiras com baixa maturidade em monitoramento de DNS são particularmente vulneráveis.
## Attack Flow
```mermaid
graph TB
A[Implantação do Malware] --> B[**T1568 Resolução Dinâmica**]
B --> C[Canal C2 Estabelecido]
C --> D[T1008 Fallback Channel]
D --> E[Persistência Garantida]
```
## Como Funciona
**1. Preparação**
O atacante escolhe o mecanismo de resolução dinâmica mais adequado à operação: Fast Flux DNS (múltiplos IPs rotacionando em registros DNS de curto TTL), DGA (algoritmo matemático gera domínios candidatos), ou DNS Calculation (valores em registros DNS codificam o endereço real do C2). O malware é compilado com o algoritmo correspondente.
**2. Execução**
No momento de comunicação, o implante executa o mecanismo de resolução: faz consultas DNS para domínios gerados algoritmicamente, interpreta respostas DNS específicas, ou rotaciona por uma lista de domínios de curto TTL. O primeiro endereço que responder ao protocolo C2 esperado é usado para estabelecer a sessão.
**3. Pós-execução**
A sessão C2 é estabelecida e o malware opera normalmente. Se o servidor primário for derrubado (sinkhole, takedown, bloqueio de firewall), o implante automaticamente executa novamente o algoritmo de resolução e encontra um servidor alternativo - continuando a operação sem intervenção do operador.
**Exemplo:**
```bash
# Artefato de detecção: consultas DNS de alta frequência para domínios de baixa reputação
# Ferramenta de monitoramento DNS capturando padrão anômalo:
# dig +short suspicious-dga-domain.ru @8.8.8.8
# Monitorar no Zeek/Bro: dns.log com campos query, answers, TTL
# TTL < 300s combinado com múltiplas respostas A = indício de Fast Flux
zeek -r capture.pcap dns
# Verificar: cat dns.log | zeek-cut query answers TTL | awk '$3 < 300 {print}'
```
## Detecção
**Fontes de dados:** DNS query logs (Zeek, Sysmon Event ID 22, Windows DNS Debug logs), análise de TTL de respostas DNS, monitoramento de frequência de NXDOMAIN, logs de proxy com resolução de domínios novos (newly registered domains).
```yaml
title: Dynamic Resolution via Suspicious DNS Activity
id: f2b4e91a-3c7d-4f88-a1e5-9d0b2c4f7e83
status: experimental
description: Detecta possível uso de resolução dinâmica por meio de padrões anômalos em consultas DNS - alta frequência, TTL baixo ou domínios recém-registrados
logsource:
category: dns
product: windows
detection:
selection_sysmon:
EventID: 22
QueryName|re: '^[a-z]{8,20}\.(ru|cn|top|xyz|pw|cc)