# T1583.002 - DNS Server
## Técnica Pai
Esta é uma sub-técnica de [[t1583-acquire-infrastructure|T1583 - T1583 - Acquire Infrastructure]].
## Descrição
Na fase de preparação de recursos, adversários podem configurar e operar seus próprios servidores DNS como parte da infraestrutura de suporte às operações ofensivas. Diferentemente de sequestrar servidores DNS existentes - abordagem coberta pela técnica de comprometimento de infraestrutura [[t1584-compromise-infrastructure|T1584]] - aqui o atacante deliberadamente provisiona e administra servidores DNS próprios, obtendo controle total sobre a resolução de nomes usados no ciclo de ataque. Esse controle é especialmente valioso para gerenciar canais de [[t1071-application-layer-protocol|Application Layer Protocol]] de Comando e Controle (C2) e para responder de forma condicional a consultas originadas de malware implantado.
Com um servidor DNS próprio, o adversário pode implementar lógica condicional nas respostas: responder com IPs de C2 ativos apenas para consultas que correspondam a padrões específicos de subdomínio, rotacionar servidores C2 dinâmicamente para evadir listas de bloqueio, e usar TTLs baixíssimos para que mudanças de infraestrutura sejam propagadas em segundos. Essa abordagem aumenta substancialmente a resiliência do canal de C2 via [[t1071-004-dns|DNS]] - mesmo que um nó de C2 sejá queimado, o servidor DNS redireciona o malware para um substituto de forma transparente. A técnica também pode suportar operações de redirecionamento de tráfego e coleta de credenciais quando combinada com [[t1566-phishing|Phishing]] baseado em domínios controlados.
Servidores DNS maliciosos frequentemente são hospedados em VPS de provedores cloud com políticas permissivas de *abuse* e baixa retenção de logs, tornando a atribuição e a derrubada mais difíceis. A combinação de DNS próprio com domínios registrados recentemente e certificados TLS legítimos - tática complementar ao uso de [[t1588-004-digital-certificates|Digital Certificates]] - permite que o tráfego malicioso se misture efetivamente ao tráfego HTTPS legítimo monitorado por proxies corporativos.
**Contexto Brasil/LATAM:** Grupos como [[g1041-sea-turtle|Sea Turtle]] demonstraram operações extensas de manipulação de DNS contra alvos governamentais e de telecomúnicações no Oriente Médio e Europa - modelo replicável contra infraestrutura crítica brasileira. No Brasil, a dependência histórica de registradores de domínio com menor rigor de verificação de identidade e a presença de provedores cloud regionais com baixa maturidade em resposta a abuso criam condições favoráveis para que adversários hospedem servidores DNS maliciosos com relativa impunidade. Órgãos como o [[sources|CERT.br]] monitoram ativamente DNS hijacking, mas servidores DNS *operados* por adversários - em contrapósição ao sequestro de DNS legítimo - são mais difíceis de detectar e remediar.
## Attack Flow
```mermaid
graph TB
A([🛠️ Provisionamento<br/>de VPS / Cloud]) --> B([🌐 Configuração do<br/>Servidor DNS Próprio]):::highlight
B --> C([📝 Registro de<br/>Domínios de C2])
C --> D([🦠 Deploy de<br/>Malware com DNS C2])
D --> E([📡 Comúnicação C2<br/>Resolvida via DNS])
classDef highlight fill:#e74c3c,color:#fff
```
## Como Funciona
**Passo 1 - Provisionamento da infraestrutura DNS:** O adversário contrata servidores VPS em provedores cloud que aceitam pagamentos anônimos (criptomoeda, cartões pré-pagos) ou utiliza identidades falsas. Instala um servidor DNS autoritativo - comumente BIND, PowerDNS ou NSD - e configura zonas para os domínios controlados. TTLs são deliberadamente baixos (60–300 segundos) para permitir rotação rápida de IPs de C2 sem depender de propagação lenta de DNS.
**Passo 2 - Integração com lógica condicional de C2:** O servidor DNS é configurado para responder de forma diferenciada com base em atributos da consulta: subdomínio específico, tipo de registro (A, TXT, CNAME, MX), IP de origem ou horário. Malware implantado realiza consultas codificadas - por exemplo, `beacon.{campanha-id}.{checksum}.c2dominio.com` - e o servidor DNS retorna dados de controle codificados no registro DNS de resposta. Esse mecanismo permite exfiltração de dados e recebimento de comandos mesmo em ambientes com inspeção profunda de pacotes, pois o tráfego aparece como resolução DNS convencional.
**Passo 3 - Operação e rotação de infraestrutura:** Durante a operação, o adversário alterna os IPs que os registros DNS apontam à medida que nós de C2 são detectados e bloqueados. O servidor DNS funciona como um **orquestrador de resiliência**: quando um IP de C2 entra em listas de bloqueio ou é derrubado via takedown, uma simples atualização de zona no servidor DNS próprio redireciona todos os implantes para novo destino em questão de minutos - sem necessidade de reinfecção ou atualização do malware.
## Detecção
**Indicadores de DNS Server malicioso:**
| Fonte | Indicador | Descrição |
|-------|-----------|-----------|
| DNS Passivo (pDNS) | Domínio com TTL ≤ 60s e histórico de IP curto | Rotação rápida de C2 - sinal de infraestrutura adversária |
| Firewall / Proxy | Consultas DNS para resolvedor não corporativo (porta 53 outbound) | Malware bypassing DNS corporativo para consultar C2 direto |
| EDR | Processo não-browser fazendo consultas DNS de alta frequência para domínios novos | Beacon DNS C2 - correlacionar com DGA detector |
| NetFlow | Alto volume de consultas TXT/NULL para domínios com entropy alta | Exfiltração via DNS |
| Threat Intel | Domínio registrado há menos de 30 dias com NS apontando para VPS anônimo | IOC de infraestrutura adversária em preparação |
**Sigma Rule - Beaconing DNS suspeito:**
```yaml
title: DNS C2 Beaconing - High Frequency Queries to Low-Reputation Domain
id: b7e2a104-3c5f-4d8a-9e61-d0f7b2c48a91
status: experimental
description: Detecta padrão de beaconing DNS C2 com alta frequência de queries para domínios novos ou de baixa reputação
author: RunkIntel
daté: 2026-03-24
logsource:
category: dns
product: zeek
detection:
selection:
query_type:
- 'TXT'
- 'NULL'
- 'A'
answers|re: '^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}