s0165-osinfo - RunkIntel

# OSInfo > Tipo: **malware** · S0165 · [MITRE ATT&CK](https://attack.mitre.org/software/S0165) ## Descrição [[s0165-osinfo|OSInfo]] é uma ferramenta customizada de reconhecimento interno utilizada pelo [[g0022-apt3|APT3]] (Gothic Panda), grupo de ameaça chinês, para realizar descoberta abrangente de computadores e redes dentro do ambiente comprometido da vítima. O OSInfo funciona como uma ferramenta de fase de pós-exploração para mapeamento do terreno antes de movimentação lateral. A ferramenta coleta informações detalhadas sobre contas locais, grupos de domínio, hosts remotos, compartilhamentos de rede, conexões ativas e configuração de rede - essencialmente construindo um inventário completo da infraestrutura interna. Este mapeamento permite ao [[g0022-apt3|APT3]] identificar alvos de alto valor, como controladores de domínio, servidores de arquivos e sistemas de gestão, para priorizar o movimento lateral. O [[g0022-apt3|APT3]] é conhecido por campanhas de espionagem de longa duração contra alvos governamentais, de defesa e tecnologia nos Estados Unidos, Europa e Ásia, com atribuição ao grupo de hackers UPS/Gothic Panda vinculado ao MSS chinês. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1087-001-local-account|T1087.001 - Local Account]] - [[t1012-query-registry|T1012 - Query Registry]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1049-system-network-connections-discovery|T1049 - System Network Connections Discovery]] - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] - [[t1069-002-domain-groups|T1069.002 - Domain Groups]] - [[t1087-002-domain-account|T1087.002 - Domain Account]] - [[t1069-001-local-groups|T1069.001 - Local Groups]] - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] ## Grupos que Usam - [[g0022-apt3|APT3]] ## Detecção - Monitorar enumeração massiva de contas e grupos de domínio em curto período ([[t1087-002-domain-account|T1087.002]]) - Detectar varreduras de rede e compartilhamentos realizadas por processos não-administrativos ([[t1135-network-share-discovery|T1135]]) - Alertar para consultas ao Active Directory em volumes anômalos ([[t1069-002-domain-groups|T1069.002]]) - Correlacionar descoberta de sistemas com movimento lateral posterior ([[t1018-remote-system-discovery|T1018]]) ## Relevância LATAM/Brasil Ferramentas de reconhecimento interno como o OSInfo representam uma fase crítica em ataques de espionagem avançada. A capacidade de mapear completamente uma rede corporativa antes de agir é utilizada por múltiplos grupos de ameaça que atacam organizações brasileiras dos setores de defesa, tecnologia e governo. Implementar monitoramento de Active Directory e detecção de varreduras internas é fundamental para identificar esta fase de ataque precocemente. ## Referências - [MITRE ATT&CK - S0165](https://attack.mitre.org/software/S0165)