s0101-ifconfig - RunkIntel

# ifconfig > Tipo: **tool** · S0101 · [MITRE ATT&CK](https://attack.mitre.org/software/S0101) ## Descrição [[s0101-ifconfig|ifconfig]] é um utilitário clássico baseado em Unix (`ifconfig` no macOS/Linux legacy) utilizado para exibir e configurar interfaces de rede TCP/IP de um sistema, incluindo endereços IP, máscara de rede, endereço MAC, status das interfaces e estatísticas de tráfego. Em sistemas Linux modernos, `ip addr` é o substituto preferido, mas `ifconfig` continua amplamente disponível. Administradores o utilizam para diagnóstico de conectividade e configuração de interfaces de rede. Em contextos maliciosos, adversários utilizam `ifconfig` durante a fase de reconhecimento inicial para identificar os endereços IP atribuídos ao host comprometido, as interfaces de rede disponíveis (incluindo interfaces VPN ou de gerenciamento) e a segmentação de rede. Essa informação é essencial para planejar a movimentação lateral e identificar sub-redes internas acessíveis. Em sistemas Linux/macOS comprometidos via webshell ou exploit, `ifconfig` é frequentemente o primeiro comando executado após obter acesso. **Plataformas:** Linux, macOS ## Técnicas Utilizadas - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] ## Relevância LATAM/Brasil Com a crescente adoção de servidores Linux no Brasil (especialmente em data centers, cloud e ambientes de container), `ifconfig` é regularmente observado em incidentes de comprometimento de servidores web e infraestrutura cloud. Grupos como [[g0139-teamtnt|TeamTNT]] - focado em comprometimento de infraestrutura Docker/Kubernetes - executam `ifconfig`/`ip addr` imediatamente após comprometer um container ou VM para mapear a rede interna antes de executar ataques de cryptojacking ou movimentação lateral. Em incidentes investigados no Brasil em 2024, `ifconfig` foi identificado no histórico de comandos de servidores Linux comprometidos em provedores de cloud nacionais. ## Detecção **Fontes de dados recomendadas:** - **Auditd (Linux):** `syscall execve` para execução de `/sbin/ifconfig` ou `/usr/sbin/ifconfig` por processos incomuns (webserver, container runtime, processos de aplicação) - **EDR Linux Process Telemetry:** Execução de `ifconfig` por processos filhos de `nginx`, `apache2`, `php-fpm` - indicativo de webshell ou RCE via aplicação web - **Container Runtime Logs:** Execução de comandos de reconhecimento de rede dentro de containers - geralmente indica container escape ou comprometimento de aplicação **Regras de detecção:** - Sigma (Linux): `lnx_susp_recon_activity.yml` - execução de comandos de reconhecimento de rede por processos de servidor web (SigmaHQ) - Falco: `spawned_process` rule - ifconfig/ip addr executado por processo de serviço web ## Referências Adicionais - [MITRE ATT&CK - S0101](https://attack.mitre.org/software/S0101) - [SigmaHQ - Linux suspicious recon activity](https://github.com/SigmaHQ/sigma) - 2024