# route > Tipo: **tool** · S0103 · [MITRE ATT&CK](https://attack.mitre.org/software/S0103) ## Descrição [[s0103-route|route]] é um utilitário de linha de comando nativo presente em Windows, Linux e macOS para exibir e manipular a tabela de roteamento IP do sistema. Em uso legítimo, administradores de rede o utilizam para diagnosticar problemas de roteamento, adicionar rotas estáticas para sub-redes específicas e verificar como o tráfego é direcionado através de interfaces de rede e gateways. Em contexto ofensivo, o comando `route print` (Windows) ou `route -n` (Linux) é utilizado na fase de reconhecimento de rede para entender a topologia de roteamento do ambiente comprometido - identificando sub-redes internas acessíveis, gateways de segmentação e possíveis caminhos de movimentação lateral para redes segregadas (ex: redes industriais OT, DMZ, redes de pagamento). Grupos como [[g0071-orangeworm|Orangeworm]] - especializado em ataques ao setor de saúde - e [[g0032-lazarus-group|Lazarus Group]] incluem o comando route em seus roteiros de reconhecimento pós-comprometimento. Além da leitura, adversários podem usar `route add` para adicionar rotas que direcionem tráfego específico através de hosts comprometidos, facilitando o pivoting para sub-redes inacessíveis diretamente do ponto de acesso do atacante. ## Técnicas Utilizadas - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] ## Grupos que Usam - [[g0071-orangeworm|Orangeworm]] - [[g0032-lazarus-group|Lazarus Group]] ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 1 (ProcessCreaté):** `route.exe` com parâmetros `print`, `add` ou `delete` por processos-pai inesperados ou em horários atípicos - **Correlação comportamental:** route.exe executado em sequência com netstat, ipconfig, nbtscan e net.exe em intervalo curto é indicativo de reconhecimento sistemático de rede - **Sysmon Event ID 13 (RegistryValueSet):** Adição de rotas persistentes (parâmetro `-p`) modifica o registro - monitorar modificações em `HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes` **Regras de detecção:** - Sigma: `proc_creation_win_susp_recon_network.yml` - detecta utilitários de reconhecimento de rede incluindo route.exe (SigmaHQ) - Behavioral: Alerta quando `route add` é executado com destino a sub-redes internas por processos não pertencentes ao processo de provisionamento de TI ## Relevância LATAM/Brasil O comando route é utilizado por atacantes em ambientes brasileiros especialmente para mapear segmentações de rede em organizações de saúde e manufatura. [[g0071-orangeworm|Orangeworm]] - grupo com foco em equipamentos médicos conectados em rede - utiliza route para descobrir sub-redes de dispositivos médicos (infusoras, tomógrafos, PACS) que frequentemente operam em VLANs segregadas mas acessíveis via rotas estáticas. No setor industrial brasileiro (energia, petróleo e gás), a descoberta de rotas para redes OT via `route print` é frequentemente o precursor de ataques de alto impacto. ## Referências - [MITRE ATT&CK - S0103](https://attack.mitre.org/software/S0103)