dc0048-named-pipe-metadata

# DC0048 — Named Pipe Metadata ## Descrição Named Pipe Metadata (DC0048) captura dados contextuais sobre named pipes no sistema — incluindo o nome do pipe, o processo que o criou, processos conectados e o contexto de segurança (token de impersonation). Named pipes são mecanismos de IPC (Inter-Process Commúnication) do Windows amplamente abusados por malware e frameworks de C2. Ferramentas de post-exploitation como [[s0154-cobalt-strike|Cobalt Strike]], [[metasploit|Metasploit]] e [[s1063-brute-ratel-c4|Brute Ratel]] utilizam named pipes com nomes específicos para comunicação entre beacons e como canal de controle entre implantes. O nome do pipe é frequentemente um indicador de comprometimento (IoC) — por exemplo, pipes com nomes como `\\\\.\\pipe\\msagent_*`, `\\\\.\\pipe\\mojo.*` ou strings aleatórias são características de frameworks C2 conhecidos. A técnica [[t1134-access-token-manipulation|Token Impersonation via Named Pipe]] permite a um adversário criar um named pipe, esperar que um processo privilegiado se conecte, e então impersonar o token de segurança desse processo para escalar privilégios. Este é um vetor de escalada de privilégios clássico no Windows, detectável via Sysmon Event IDs 17 e 18. No contexto de movimento lateral, named pipes sobre SMB (`\\\\.\\pipe\\`) são utilizados para executar código remotamente via técnicas como PsExec, que cria o pipe `PSEXESVC` como parte de sua operação. ## Telemetria | Plataforma | Fonte | Event ID / Evento | Informações Capturadas | |------------|-------|-------------------|------------------------| | Windows | Sysmon | Event ID 17 — PipeCreated | Nome do pipe, processo criador, PID, usuário | | Windows | Sysmon | Event ID 18 — PipeConnected | Nome do pipe, processo cliente, PID de origem | | Windows | Windows Security | Event ID 5145 | Acesso a named pipe via compartilhamento SMB | | Windows | ETW | Microsoft-Windows-Kernel-EventTracing | Telemetria de criação/destruição de pipes | | Linux | auditd | syscall: `mkfifo`, `open`, `read`, `write` | FIFO (named pipe) em sistemas Unix | | Linux | lsof | `lsof \| grep PIPE` ou `lsof -p <PID>` | Pipes ativos e processos associados | | macOS | dtrace / kdebug | `PIPE_*` events | Criação e acesso a pipes no macOS | ## Queries de Detecção **KQL (Microsoft Sentinel / Defender)** ```kql // Named pipes suspeitos — padrões associados a frameworks C2 DeviceEvents | where ActionType == "NamedPipeEvent" | where AdditionalFields has_any ("msagent", "mojo", "postex", "status_", "DserNamePipe") or AdditionalFields matches regex @"\\pipe\\[a-z0-9]{8,}" | project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, AdditionalFields | order by Timestamp desc ``` **SPL (Splunk)** ```spl index=sysmon EventCode=17 OR EventCode=18 | rex field=PipeName "(?<pipe_suffix>[^\\]+)quot; | where NOT match(PipeName, "(?i)(lsass|ntsvcs|browser|srvsvc|wkssvc|netlogon|samr|lsarpc)") | eval suspicious=if(match(pipe_suffix, "^[a-f0-9]{8,}quot;) OR len(pipe_suffix) < 5, "high", "low") | where suspicious="high" | stats count by PipeName, Image, host, _time ``` ## Técnicas Relacionadas - [[t1559-inter-process-communication|T1559 — Inter-Process Commúnication]] — abuso de named pipes para comunicação entre processos maliciosos - [[t1021-remote-services|T1021 — Remote Services]] — execução remota via SMB named pipes (PsExec, WMI) - [[t1570-lateral-tool-transfer|T1570 — Lateral Tool Transfer]] — transferência de ferramentas via named pipes entre sistemas - [[t1134-access-token-manipulation|T1134 — Access Token Manipulation]] — impersonation via named pipe para escalada de privilégios ## Contexto LATAM > [!danger] Cobalt Strike Named Pipes no Brasil > A telemetria de Named Pipe Metadata é um dos indicadores mais confiáveis para detectar [[s0154-cobalt-strike|Cobalt Strike]] — a ferramenta de C2 mais utilizada em ataques direcionados ao Brasil. Pipes como `\pipe\msagent_*`, `\pipe\status_*` e strings hexadecimais aleatórias são assinaturas conhecidas de beacons CS. SOCs brasileiros devem criar regras de detecção baseadas nas listas de named pipes de C2 mantidas por projetos como o Awesome C2 Profiles e o ThreatHunter Playbook. Correlacione com [[t1021-remote-services|SMB]] e [[t1134-access-token-manipulation|Token Impersonation]] para cobertura completa. ## Referências - [MITRE ATT&CK — DS0023 Named Pipe](https://attack.mitre.org/datasources/DS0023/) - [Sysmon Event IDs 17 e 18 — Pipe Created/Connected](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon) - [Cobalt Strike Named Pipe Indicators](https://github.com/MichaelKoczwara/Awesome-CobaltStrike-Defence)