# netstat > Tipo: **tool** · S0104 · [MITRE ATT&CK](https://attack.mitre.org/software/S0104) ## Descrição [[s0104-netstat|netstat]] é um utilitário nativo multiplataforma (Windows, Linux, macOS) que exibe conexões TCP/UDP ativas, portas em escuta, tabelas de roteamento e estatísticas de interface de rede. Em contexto legítimo, é ferramenta indispensável para administradores de sistemas e analistas de rede para diagnosticar conectividade, identificar serviços ativos e monitorar conexões estabelecidas. Em operações ofensivas, o [[s0104-netstat|netstat]] é utilizado principalmente na fase de descoberta interna (T1049) para identificar conexões de rede ativas no sistema comprometido, detectar outros hosts conectados (candidatos a movimento lateral), verificar se ferramentas de C2 estão comúnicando corretamente e identificar soluções de segurança escutando em portas específicas. Grupos como [[g1017-volt-typhoon|Volt Typhoon]], [[g0096-apt41|APT41]], [[g0049-oilrig|OilRig]] e [[g0010-turla|Turla]] incluem netstat nas rotinas de reconhecimento pós-comprometimento para válidar o ambiente antes de prosseguir com ações de objetivo. Como LOLBin assinado pelo sistema operacional, o netstat não gera alertas por si só. A detecção requer contexto: execuções frequentes, encadeamento com outros utilitários de enumeração, ou execução por processos inesperados (ex: macro de Office executando netstat). ## Técnicas Utilizadas - [[t1049-system-network-connections-discovery|T1049 - System Network Connections Discovery]] ## Grupos que Usam - [[g1001-hexane|HEXANE]] - [[g0004-apt15|Ke3chang]] - [[g0010-turla|Turla]] - [[g0071-orangeworm|Orangeworm]] - [[g0096-apt41|APT41]] - [[g0049-oilrig|OilRig]] - [[g0027-threat-group-3390|Threat Group-3390]] - [[g1022-toddycat|ToddyCat]] - [[g0018-admin338|admin@338]] - [[g1017-volt-typhoon|Volt Typhoon]] ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 1 (ProcessCreaté):** Monitorar `netstat.exe` executado por processos-pai incomuns (ex: powershell.exe, wscript.exe, word.exe) ou com parâmetros como `-ano` em contextos suspeitos - **Correlação comportamental:** Execução de netstat precedida ou seguida por net.exe, nltest.exe, systeminfo.exe em sequência - indicativo de reconhecimento sistemático pós-comprometimento - **Process ancestry:** netstat.exe iniciado por processos de scripting (wscript, cscript) ou interpretes inesperados indica execução por malware ou macro **Regras de detecção:** - Sigma: `proc_creation_win_susp_recon_activity.yml` - detecta sequência de utilitários de reconhecimento incluindo netstat (SigmaHQ) - SIEM correlation: Alerta quando netstat.exe é executado por processo-pai diferente de explorer.exe ou cmd.exe em menos de 1 hora após logon inicial ## Relevância LATAM/Brasil [[s0104-netstat|netstat]] é componente padrão do arsenal de reconhecimento de APTs que operam contra o Brasil. [[g1017-volt-typhoon|Volt Typhoon]] e [[g1022-toddycat|ToddyCat]] - grupos com presença documentada em infraestrutura crítica da América Latina - incluem netstat na fase de reconhecimento inicial para identificar arquitetura de rede interna. No contexto brasileiro, onde organizações frequentemente operam redes flat com múltiplos sistemas legados conectados, as informações coletadas pelo netstat são altamente valiosas para planejamento de movimento lateral. ## Referências - [MITRE ATT&CK - S0104](https://attack.mitre.org/software/S0104)