s0039-net - RunkIntel

# Net > Tipo: **tool** · S0039 · [MITRE ATT&CK](https://attack.mitre.org/software/S0039) ## Descrição O utilitário [[s0039-net|Net]] é um componente nativo do sistema operacional Windows, disponível desde versões antigas e presente em todas as instalações modernas. É utilizado por administradores de TI para gerenciar usuários, grupos, serviços, compartilhamentos de rede e conexões remotas diretamente pela linha de comando. Comandos como `net user`, `net group`, `net localgroup`, `net share` e `net use` são parte do repertório cotidiano de administração de ambientes Active Directory. Do ponto de vista ofensivo, o [[s0039-net|Net]] é uma das ferramentas mais abusadas por APTs e grupos de ransomware por ser um LOLBin (Living-off-the-Land Binary) com assinatura Microsoft. Grupos como [[g0007-apt28|APT28]], [[g0096-apt41|APT41]], [[g0049-oilrig|OilRig]] e [[g0082-apt38|APT38]] utilizam `net user /domain`, `net group "Domain Admins"` e `net view` para enumerar contas privilegiadas, domínios e compartilhamentos antes de escalar privilégios e executar movimento lateral. O comando `net use \\host\C

monta compartilhamentos administrativos para depositar ferramentas ou executar payloads remotamente. O utilitário `net1.exe` é funcionalmente idêntico ao `net.exe` e é frequentemente usado por adversários como alternativa para evadir detecções baseadas em nome de processo. A diversidade de grupos que abusam desta ferramenta - de espionagem estatal (Dragonfly, APT28) a crime financeiro (APT38) - demonstra sua utilidade universal no ciclo de ataque. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1201-password-policy-discovery|T1201 - Password Policy Discovery]] - [[t1069-002-domain-groups|T1069.002 - Domain Groups]] - [[t1124-system-time-discovery|T1124 - System Time Discovery]] - [[t1087-002-domain-account|T1087.002 - Domain Account]] - [[t1087-001-local-account|T1087.001 - Local Account]] - [[t1007-system-service-discovery|T1007 - System Service Discovery]] - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] - [[t1049-system-network-connections-discovery|T1049 - System Network Connections Discovery]] - [[t1070-005-network-share-connection-removal|T1070.005 - Network Share Connection Removal]] - [[t1569-002-service-execution|T1569.002 - Service Execution]] - [[t1136-001-local-account|T1136.001 - Local Account]] - [[t1098-007-additional-local-or-domain-groups|T1098.007 - Additional Local or Domain Groups]] - [[t1069-001-local-groups|T1069.001 - Local Groups]] - [[t1021-002-smbwindows-admin-shares|T1021.002 - SMB/Windows Admin Shares]] ## Grupos que Usam - [[g0019-naikon|Naikon]] - [[g0059-magic-hound|Magic Hound]] - [[g0082-apt38|APT38]] - [[g0035-dragonfly|Dragonfly]] - [[g0009-deep-panda|Deep Panda]] - [[g0027-threat-group-3390|Threat Group-3390]] - [[g0049-oilrig|OilRig]] - [[g0028-threat-group-1314|Threat Group-1314]] - [[g0007-apt28|APT28]] - [[g0096-apt41|APT41]] ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 1 (ProcessCreaté):** Monitorar `net.exe` e `net1.exe` com parâmetros suspeitos: `user /domain`, `group "Domain Admins"`, `localgroup administrators`, `use \\host\admin

- **Windows Security Event ID 4688:** CommandLine contendo `net user /add` ou `net localgroup administrators /add` indica criação de conta e escalada de privilégios - **Windows Security Event ID 4732:** Adição de membro a grupo de segurança privilegiado - frequentemente precedida por `net group /add` **Regras de detecção:** - Sigma: `proc_creation_win_net_groups.yml` - detecta `net.exe` consultando grupos privilegiados de domínio (SigmaHQ) - Sigma: `proc_creation_win_net_user_add.yml` - detecta criação de usuário local ou de domínio via net.exe - Correlação: Sequência `net user /domain` → `net group "Domain Admins"` → `net use` em < 5 minutos indica reconhecimento e preparação para movimento lateral ## Relevância LATAM/Brasil O utilitário Net é amplamente abusado em ataques a organizações brasileiras e latino-americanas. Grupos de ransomware como [[g1040-play|Play]] e [[g1032-inc-ransom|INC Ransom]] - com vítimas confirmadas no Brasil - utilizam Net para enumeração de domínio antes de implantar o payload de cifragem. APTs financeiramente motivados como [[g0082-apt38|APT38]] (Lazarus Group / BlueNoroff), que visa instituições financeiras globalmente incluindo o Brasil, usam net.exe para mapear infraestrutura bancária interna. Em incidentes investigados por times de resposta no Brasil, a execução de `net group "Domain Admins" /domain` é frequentemente o primeiro indicador de comprometimento detectado nos logs de eventos. ## Referências - [MITRE ATT&CK - S0039](https://attack.mitre.org/software/S0039)