# T1584.002 - DNS Server
## Descrição
Adversários comprometem servidores DNS de terceiros para utilizá-los em suporte às suas operações ofensivas. O Sistema de Nomes de Domínio (DNS) é a infraestrutura fundamental da internet, responsável por traduzir nomes legíveis por humanos em endereços IP. Ao assumir o controle de um servidor DNS legítimo - em vez de registrar servidores próprios, o que deixaria rastros de propriedade -, os atacantes podem manipular resoluções de nomes de forma silenciosa, redirecionando tráfego de organizações inteiras para infraestrutura maliciosa sem alertar imediatamente as vítimas. O tráfego DNS comprometido aparece indistinguível de comúnicações legítimas para a maioria das ferramentas de monitoramento tradicionais.
Com controle sobre um servidor DNS, o adversário pode alterar registros A, AAAA, MX e NS para redirecionar tráfego de e-mail, web e VPN de organizações-alvo. Essa capacidade viabiliza ataques de coleta de credenciais em escala, interceptação de tokens de autenticação e tomada de controle de serviços SaaS - bastando provar "propriedade" do domínio perante um provedor por meio dos registros DNS manipulados. A técnica é frequentemente combinada com [[t1588-004-digital-certificates|certificados digitais]] obtidos via válidação de domínio (DV) para criar infraestrutura HTTPS aparentemente legítima, e com [[t1136-003-cloud-account|criação de contas em nuvem]] sob o domínio comprometido. Subdomínios maliciosos podem ser criados silenciosamente, apontando para servidores de C2, sem que o proprietário legítimo do domínio perceba.
**Contexto Brasil/LATAM:** O sequestro de DNS é uma das técnicas mais impactantes já documentadas contra entidades brasileiras e latino-americanas. O grupo [[g1041-sea-turtle|Sea Turtle]] (Teal Kurma), de origem turca com motivação de espionagem, realizou uma das campanhas de DNS hijacking mais abrangentes já documentadas, comprometendo registradores de domínio e provedores de DNS no Oriente Médio e América Latina - incluindo o Brasil - para interceptar credenciais de entidades governamentais e de telecomúnicações. O grupo [[g1004-lapsus|LAPSUS$]], de origem sul-americana, explorou fragilidades em provedores de DNS e serviços de telecomúnicações brasileiros como vetor de acesso inicial para operações de engenharia social em escala. O [[t1071-application-layer-protocol|protocolo DNS]] também é amplamente abusado por grupos de cibercrime financeiro brasileiros para tunelamento de C2, aproveitando o fato de que a maioria das organizações não inspeciona tráfego DNS profundamente.
---
*Fonte: [MITRE ATT&CK - T1584.002](https://attack.mitre.org/techniques/T1584/002)*
## Attack Flow
```mermaid
graph TB
A([Identificação de<br/>servidor DNS<br/>vulnerável]) --> B([Comprometimento<br/>do servidor DNS])
B --> C{{"T1584.002<br/>DNS Server"}}:::highlight
C --> D([Manipulação<br/>de registros<br/>DNS])
D --> E([Redirecionamento<br/>de tráfego /<br/>C2 via DNS])
classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b
```
## Como Funciona
1. **Comprometimento do servidor DNS:** O adversário identifica servidores DNS autoritativos ou recursivos com vulnerabilidades exploráveis - painéis de administração expostos (cPanel, WHMCS, Plesk), interfaces de gerenciamento com credenciais fracas ou padrão, ou vulnerabilidades em software de DNS como BIND ou Microsoft DNS. Credenciais de administradores de registradores de domínio também são alvo de phishing direcionado e credential stuffing. Em casos documentados do [[g1041-sea-turtle|Sea Turtle]], o ataque ocorreu diretamente contra registradores e operadores de infraestrutura de DNS de topo, ampliando o raio de impacto para múltiplas organizações simultaneamente.
2. **Manipulação de registros DNS:** Com acesso ao servidor ou painel do registrador, o adversário altera registros críticos: registros A/AAAA de domínios corporativos são redirecionados para servidores de coleta de credenciais; registros MX são alterados para interceptar e-mails; registros NS são substituídos para delegar toda a zona ao controle do atacante. Subdomínios arbitrários são criados apontando para infraestrutura maliciosa. Para maximizar o tempo de efetividade, os TTLs (Time-to-Live) dos registros originais são reduzidos antes da alteração, acelerando a propagação dos registros falsos pela internet, e depois aumentados nos registros maliciosos para prolongar o redirecionamento mesmo após eventual detecção.
3. **Coleta e C2 via DNS comprometido:** O tráfego redirecionado chega a servidores controlados pelo adversário, onde credenciais, tokens de sessão e dados confidenciais são capturados. Certificados TLS são emitidos para os domínios redirecionados via válidação DNS automática (Let's Encrypt, ZeroSSL), tornando as páginas de phishing indistinguíveis das legítimas para usuários finais. Paralelamente, o servidor DNS comprometido pode ser configurado para responder consultas de malware implantado nas redes-alvo, viabilizando [[t1071-application-layer-protocol|C2 via protocolo DNS]] - técnica de alto valor por raramente ser bloqueada em firewalls corporativos.
## Detecção
**Event IDs relevantes (infraestrutura DNS interna):**
| Event ID | Fonte | Relevância |
|----------|-------|------------|
| 150 | Microsoft-Windows-DNS-Server | Zona DNS modificada - alteração de registro |
| 770 | Microsoft-Windows-DNS-Server | Arquivo de zona DNS carregado - propagação de alteração |
| 408 | Microsoft-Windows-DNS-Server | Consulta recursiva incomum - possível tunelamento DNS |
| 22 | Sysmon | DNS query - domínios com padrão DGA ou subdomínios incomuns |
| 3 | Sysmon | Network connection - comunicação com servidor DNS externo não autorizado |
| 4624 | Security | Logon - acesso administrativo ao servidor DNS |
**Sigma Rule - detecção de DNS hijacking e tunelamento C2:**
```yaml
title: Possível DNS Hijacking ou Tunelamento C2 via DNS (T1584.002)
id: c3e5g7i9-2d4f-6h8j-0l2n-4p6r8t0v2x4z
status: experimental
description: >
Detecta padrões suspeitos de consultas DNS que podem indicar uso de servidor
DNS comprometido como infraestrutura C2 (tunelamento DNS) ou alterações
em zonas DNS que sugerem hijacking. Cobre técnicas usadas por Sea Turtle e LAPSUS$.
author: RunkIntel
daté: 2026-03-24
tags:
- attack.resource_development
- attack.t1584.002
- attack.command_and_control
- attack.t1071.004
logsource:
product: windows
service: dns-server
detection:
selection_zone_modification:
EventID:
- 150
- 770
selection_high_volume_subdomains:
EventID: 256
QueryName|re: '^[a-zA-Z0-9]{20,}\.'
selection_dns_tunneling_indicators:
EventID: 256
QueryName|contains:
- '.dnscat'
- '.iodine'
- 'dnstunnel'
filter_legitimate_updates:
SubjectUserName|endswith: '