# Ping > Tipo: **tool** · S0097 · [MITRE ATT&CK](https://attack.mitre.org/software/S0097) ## Descrição [[s0097-ping|Ping]] é um utilitário de diagnóstico de rede nativo presente em todos os sistemas operacionais modernos (Windows, Linux, macOS). Funciona enviando pacotes ICMP Echo Request para um destino e medindo o tempo de resposta, sendo ferramenta fundamental para verificar conectividade, medir latência e diagnosticar problemas de rede. Em operações ofensivas, o Ping é utilizado na fase de descoberta remota de sistemas (T1018) para identificar hosts ativos em uma rede sem usar ferramentas de terceiros. Com um simples loop de ping (`for /L %i in (1,1,254) do ping -n 1 192.168.1.%i`), um atacante pode mapear todos os hosts respondentes de uma sub-rede. Grupos como [[g0096-apt41|APT41]], [[g0102-conti-group|Wizard Spider]], [[g0093-gallium|GALLIUM]], [[g0019-naikon|Naikon]] e [[g0061-fin8|FIN8]] incluem ping em scripts de reconhecimento automatizado como alternativa leve ao NBTscan ou Nmap quando ferramentas externas não estão disponíveis. Como LOLBin presente em todos os sistemas Windows, o uso de ping é práticamente impossível de bloquear. A detecção requer análise comportamental: execução de ping em loop ou para múltiplos alvos em sequência por um processo de scripting ou dentro de poucos minutos, especialmente se iniciado por um processo de aplicação em vez de um usuário interativo. **Plataformas:** Windows, Linux, macOS ## Técnicas Utilizadas - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] ## Grupos que Usam - [[g0093-gallium|GALLIUM]] - [[g1001-hexane|HEXANE]] - [[g0004-apt15|Ke3chang]] - [[g0061-fin8|FIN8]] - [[g0059-magic-hound|Magic Hound]] - [[g0019-naikon|Naikon]] - [[g0009-deep-panda|Deep Panda]] - [[g0030-raspberry-typhoon|Lotus Blossom]] - [[g0102-conti-group|Wizard Spider]] - [[g0096-apt41|APT41]] ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 1 (ProcessCreaté):** Múltiplas execuções de `ping.exe` em sequência rápida (> 5 em 2 minutos) ou com IPs sequenciais - indica varredura de hosts - **Sysmon Event ID 1:** ping.exe iniciado por processos-pai suspeitos (powershell.exe com `-enc`, cmd.exe a partir de wscript) indica execução por malware ou script malicioso - **Correlação comportamental:** ping.exe seguido de net.exe, nltest.exe e psexec.exe em < 10 minutos é sequência típica de reconhecimento inicial pós-comprometimento **Regras de detecção:** - Sigma: `proc_creation_win_ping_mass_recon.yml` - detecta execução massiva de ping para varredura de rede (SigmaHQ) - Behavioral: Alerta em > 10 execuções de ping.exe por uma única conta em menos de 5 minutos ## Relevância LATAM/Brasil [[s0097-ping|Ping]] como ferramenta de reconhecimento aparece em práticamente todos os incidentes de intrusão investigados no Brasil. Por ser um LOLBin universal, grupos que operam em redes brasileiras - desde ransomware como [[g1040-play|Play]] e [[g0102-conti-group|Wizard Spider]] até APTs de espionagem - incluem ping em seus scripts de reconhecimento inicial. Em ataques a redes de manufatura e infraestrutura crítica no Brasil, onde redes OT e IT frequentemente têm algum grau de conectividade, ping é usado para mapear dispositivos industriais (PLCs, HMIs) acessíveis a partir de redes corporativas comprometidas. ## Referências - [MITRE ATT&CK - S0097](https://attack.mitre.org/software/S0097)