s0590-nbtscan - RunkIntel

# NBTscan > Tipo: **tool** · S0590 · [MITRE ATT&CK](https://attack.mitre.org/software/S0590) ## Descrição [[s0590-nbtscan|NBTscan]] é uma ferramenta de código aberto utilizada para varredura de redes em busca de informações NetBIOS. Originalmente desenvolvida para administradores de redes Windows, a ferramenta envia requisições de status NetBIOS para cada endereço IP em um range específicado e lista as respostas recebidas, incluindo nomes NetBIOS, endereços MAC e informações de usuário logado. Do ponto de vista ofensivo, o NBTscan é amplamente empregado na fase de descoberta interna após comprometimento inicial, permitindo ao atacante mapear rapidamente hosts ativos na rede local, identificar controladores de domínio, servidores de arquivos e estações de trabalho. Grupos como [[g0087-apt39|APT39]], [[g0129-mustang-panda|Mustang Panda]], [[g0010-turla|Turla]] e [[g1006-earth-lusca|Earth Lusca]] utilizam NBTscan para construir um mapa da rede comprometida antes de iniciar movimento lateral, exfiltração ou implantação de payloads adicionais. A ferramenta é difícil de distinguir de uso legítimo em ambientes Windows corporativos, pois administradores frequentemente a utilizam para inventário de ativos e diagnóstico de conectividade NetBIOS. A detecção eficaz requer correlação de múltiplas conexões rápidas ao mesmo destino (porta UDP 137) a partir de uma origem interna incomum. **Plataformas:** Windows, Linux, macOS ## Técnicas Utilizadas - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1040-network-sniffing|T1040 - Network Sniffing]] - [[t1046-network-service-discovery|T1046 - Network Service Discovery]] - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] ## Grupos que Usam - [[g0087-apt39|APT39]] - [[g1030-agrius|Agrius]] - [[g0135-backdoordiplomacy|BackdoorDiplomacy]] - [[g0030-raspberry-typhoon|Lotus Blossom]] - [[g0131-tonto-team|Tonto Team]] - [[g0093-gallium|GALLIUM]] - [[g0129-mustang-panda|Mustang Panda]] - [[g1006-earth-lusca|Earth Lusca]] - [[g0010-turla|Turla]] - [[g0027-threat-group-3390|Threat Group-3390]] ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 3 (NetworkConnect):** Múltiplas conexões rápidas à porta UDP 137 a partir de um único host interno - padrão típico de varredura NBTscan - **Windows Security Event ID 4776 / 5140:** Tentativas de acesso a recursos NetBIOS em múltiplos hosts em curto intervalo - **Firewall / IDS:** Regras de detecção de varredura UDP 137 em sub-redes internas (múltiplos destinos de uma única fonte em < 60 segundos) **Regras de detecção:** - Sigma: `net_connection_win_nbtscan.yml` - detecta processo executando nbtscan com múltiplas conexões UDP 137 (SigmaHQ) - Network: Alerta de threshold em conexões UDP 137 de um único IP para > 20 hosts em 60 segundos ## Relevância LATAM/Brasil NBTscan é frequentemente utilizado por grupos de espionagem estatal e financeiramente motivados que operam em redes corporativas e governamentais brasileiras. Grupos como [[g0087-apt39|APT39]] e [[g1006-earth-lusca|Earth Lusca]] - com histórico de ataques a infraestrutura crítica e governo na América Latina - empregam NBTscan para mapear domínios Active Directory e identificar servidores de arquivos antes de executar ataques de movimento lateral. Em ambientes industriais (manufatura e energia) do Brasil, o protocolo NetBIOS ainda é prevalente, tornando a ferramenta particularmente eficaz para reconhecimento nesses ambientes. ## Referências - [MITRE ATT&CK - S0590](https://attack.mitre.org/software/S0590)