# K8Tools > Tipo: **tool** · [MITRE ATT&CK](https://attack.mitre.org/software/S0387) ## Descrição [[s0387-k8tools|K8Tools]] é um conjunto de ferramentas de hacking de origem chinesa amplamente utilizado por atores de ameaça de variados níveis de sofisticação. O [[s0387-k8tools|K8Tools]] inclui um conjunto diversificado de utilitários para reconhecimento de rede, exploração de vulnerabilidades, movimentação lateral e pós-exploração, tornando-o uma solução abrangente para operações de intrusão. Inicialmente desenvolvido e distribuído por grupos na China, o [[s0387-k8tools|K8Tools]] foi adotado por múltiplos atores de ameaça ao redor do mundo, tornando a atribuição baseada em seu uso especialmente difícil. O toolkit inclui ferramentas para varredura de portas e serviços ([[t1046-network-service-discovery|T1046]]), força bruta de credenciais ([[t1110-brute-force|T1110]]) em serviços como RDP, SSH, SMB e bases de dados, propagação via compartilhamentos SMB ([[t1021-002-smbwindows-admin-shares|T1021.002]]) e execução de scripts PowerShell ([[t1059-001-powershell|T1059.001]]) e cmd.exe ([[t1059-003-windows-command-shell|T1059.003]]). A descoberta de informações do sistema ([[t1082-system-information-discovery|T1082]]) é amplamente utilizada para mapear o ambiente-alvo. Componentes do [[s0387-k8tools|K8Tools]] são frequentemente ofuscados ([[t1027-obfuscated-files-or-information|T1027]]) para evadir soluções antivírus. O [[s0387-k8tools|K8Tools]] é particularmente relevante porque representa a fusão entre ferramentas de penetration testing legítimas e capabilidades maliciosas, tornando sua detecção contextual - os mesmos binários podem ser utilizados por red teams autorizados e por atacantes maliciosos. Sua ampla adoção significa que o simples fato de detectar [[s0387-k8tools|K8Tools]] em um ambiente não é suficiente para atribuição, mas o contexto de uso (processos iniciadores, horários, origens de rede) fornece pistas valiosas sobre intenção maliciosa. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1046-network-service-discovery|T1046 - Network Service Discovery]] - [[t1110-brute-force|T1110 - Brute Force]] - [[t1021-002-smbwindows-admin-shares|T1021.002 - SMB/Windows Admin Shares]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] ## Detecção Detecção do [[s0387-k8tools|K8Tools]] requer análise comportamental, pois muitos componentes são executáveis legítimos. Indicadores incluem: varredura de portas originada de estações de trabalho corporativas; tentativas de autenticação em múltiplos sistemas em sequência rápida (força bruta); e execução de executáveis desconhecidos com comportamento de descoberta de rede. Políticas de whitelist de aplicações (AppLocker/WDAC) que bloqueiam execução de binários não-autorizados são eficazes. Alertas SIEM para volume anormal de tentativas de autenticação via SMB ou RDP em curto período são indicadores críticos. ## Relevância LATAM/Brasil O [[s0387-k8tools|K8Tools]] tem relevância direta para o Brasil pela adoção por grupos de cibercrime locais e internacionais que operam na região. Ferramentas de força bruta e movimentação lateral são elementos centrais de campanhas ransomware que têm afetado empresas brasileiras em todos os setores. A ampla disponibilidade do [[s0387-k8tools|K8Tools]] em fóruns underground significa que mesmo atores de baixa sofisticação podem conduzir ataques efetivos contra organizações com controles básicos insuficientes, como senhas fracas em serviços expostos à internet. ## Referências - [MITRE ATT&CK](https://attack.mitre.org)