# netsh > Tipo: **tool** · S0108 · [MITRE ATT&CK](https://attack.mitre.org/software/S0108) ## Descrição [[s0108-netsh|netsh]] (Network Shell) é um utilitário de linha de comando nativo do Windows que permite a administradores configurar e monitorar componentes de rede, incluindo firewall, adaptadores de rede, roteamento, e interfaces de rede sem fio. É amplamente utilizado em scripts de automação corporativa para configuração de regras de firewall, port forwarding e gerenciamento de adaptadores. Em operações ofensivas, o [[s0108-netsh|netsh]] é explorado para múltiplos fins: desabilitar o firewall do Windows (`netsh advfirewall set allprofiles state off`), criar regras permissivas para portas de C2, configurar port forwarding para redirecionar tráfego através de sistemas comprometidos, e registrar DLLs maliciosas como Helper DLLs do netsh para persistência. Grupos como [[g1017-volt-typhoon|Volt Typhoon]], [[g0032-lazarus-group|Lazarus Group]] e [[g0008-carbanak|Carbanak]] exploram netsh para criar túneis de proxy e contornar controles de segurança de rede sem instalar ferramentas de terceiros. A técnica de Netsh Helper DLL (T1546.007) é particularmente perigosa: ao registrar uma DLL maliciosa como helper do netsh, o atacante obtém persistência automática toda vez que o netsh é executado. Este método é detectado monitorando modificações na chave de registro `HKLM\SOFTWARE\Microsoft\NetSh`. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1562-004-disable-or-modify-system-firewall|T1562.004 - Disable or Modify System Firewall]] - [[t1546-007-netsh-helper-dll|T1546.007 - Netsh Helper DLL]] - [[t1090-proxy|T1090 - Proxy]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] ## Grupos que Usam - [[g1017-volt-typhoon|Volt Typhoon]] - [[g0019-naikon|Naikon]] - [[g0050-apt32|APT32]] - [[g0059-magic-hound|Magic Hound]] - [[g0032-lazarus-group|Lazarus Group]] - [[g0008-carbanak|Carbanak]] - [[g0035-dragonfly|Dragonfly]] ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 1 (ProcessCreaté):** Monitorar `netsh.exe` com parâmetros: `advfirewall set`, `interface portproxy add`, `advfirewall firewall add rule` - **Windows Registry Event (Sysmon ID 13):** Monitorar criação/modificação em `HKLM\SOFTWARE\Microsoft\NetSh` - indica registro de Helper DLL maliciosa - **Windows Security Event ID 4688:** CommandLine com `netsh advfirewall set allprofiles state off` indica desabilitação do firewall **Regras de detecção:** - Sigma: `proc_creation_win_netsh_fw_disable.yml` - detecta desabilitação do firewall via netsh (SigmaHQ) - Sigma: `registry_set_netsh_helper_dll.yml` - detecta registro de Helper DLL no netsh para persistência - Sigma: `proc_creation_win_netsh_port_fwd.yml` - detecta configuração de port forwarding via netsh portproxy ## Relevância LATAM/Brasil O [[s0108-netsh|netsh]] é regularmente utilizado em ataques a infraestrutura brasileira. [[g1017-volt-typhoon|Volt Typhoon]] - APT chinês focado em infraestrutura crítica - emprega netsh portproxy para criar túneis persistentes dentro de redes comprometidas. [[g0008-carbanak|Carbanak]], responsável por ataques históricos a bancos brasileiros, usou netsh para modificar regras de firewall e garantir comunicação com servidores C2. Em resposta a incidentes no setor financeiro nacional, a desabilitação do Windows Firewall via netsh é frequentemente o segundo ou terceiro artefato encontrado após o acesso inicial. ## Referências - [MITRE ATT&CK - S0108](https://attack.mitre.org/software/S0108)