s0102-nbtstat - RunkIntel

# nbtstat > Tipo: **tool** · S0102 · [MITRE ATT&CK](https://attack.mitre.org/software/S0102) ## Descrição [[s0102-nbtstat|nbtstat]] é um utilitário nativo do Windows usado para diagnosticar problemas de resolução de nomes NetBIOS sobre TCP/IP. Ele exibe estatísticas do protocolo NetBIOS, tabelas de nomes NetBIOS de computadores locais e remotos, e o cache de nomes NetBIOS. Administradores o utilizam para verificar registros NetBIOS, identificar computadores em uma rede local e limpar o cache de nomes. Em contexto ofensivo, o [[s0102-nbtstat|nbtstat]] é empregado na fase de reconhecimento interno para enumerar hosts na rede, identificar domínios Windows e coletar nomes NetBIOS de sistemas remotos. O grupo [[g0010-turla|Turla]] - APT russo com longa história de espionagem - utiliza nbtstat entre outros utilitários nativos do Windows (LOLBins) para minimizar a pegada no ambiente comprometido, dificultando a detecção por soluções EDR que alertam sobre ferramentas de terceiros. A característica mais perigosa do nbtstat é ser um binário assinado e legítimo da Microsoft, tornando sua execução práticamente invisível para soluções baseadas em whitelist. A detecção eficaz requer monitoramento de comportamento - especialmente execuções frequentes do nbtstat em sequência com outros utilitários de enumeração como [[s0039-net|net]], [[s0359-nltest|nltest]] e [[s0096-systeminfo|systeminfo]]. ## Técnicas Utilizadas - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1049-system-network-connections-discovery|T1049 - System Network Connections Discovery]] ## Grupos que Usam - [[g0010-turla|Turla]] ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 1 (ProcessCreaté):** Monitorar execução de `nbtstat.exe` com parâmetros `-A` (host remoto) ou `-c` (cache) em contextos incomuns (fora de horário de trabalho, por usuários não-admin) - **Windows Security Event ID 4688:** Criação de processo nbtstat.exe com linha de comando contendo IP de destino externo à sub-rede local - **Correlação comportamental:** Sequência de execução nbtstat + net + nltest em intervalo de minutos indica enumeração ativa de domínio **Regras de detecção:** - Sigma: `proc_creation_win_net_recon.yml` - detecta cadeia de utilitários de enumeração de rede nativos executados em sequência (SigmaHQ) ## Relevância LATAM/Brasil O uso de utilitários nativos como [[s0102-nbtstat|nbtstat]] é uma tática especialmente prevalente em ataques contra organizações brasileiras que ainda operam com infraestrutura Windows legada, onde NetBIOS permanece habilitado. Grupos como [[g0010-turla|Turla]] e outros APTs de espionagem utilizam esse conjunto de ferramentas LOLBin para operar silenciosamente em redes governamentais e industriais. No Brasil, setores de manufatura, educação e governo estadual frequentemente mantêm NetBIOS ativo por compatibilidade com sistemas legados, ampliando a superfície de ataque. ## Referências - [MITRE ATT&CK - S0102](https://attack.mitre.org/software/S0102)