dc0078-network-traffic-flow

# DC0078 — Network Traffic Flow > [!info] Data Component MITRE ATT&CK > **ID:** DC0078 | **Fonte pai:** [[ds0029-network-traffic|DS0029 — Network Traffic]] | **Cobertura:** Metadados de sessão de rede (IPs, portas, protocolos, volume, duração) ## Descrição Network Traffic Flow captura dados resumidos de pacotes de rede no nível de sessão — sem armazenar o payload completo. Os registros contêm informações como IP de origem e destino, portas, protocolo, timestamps, bytes transferidos e duração da sessão. Este padrão é amplamente compatível com os formatos **NetFlow** (Cisco), **IPFIX** (padrão IETF) e **sFlow**. Por não capturar o conteúdo dos pacotes, o Network Traffic Flow representa o equilíbrio ideal entre visibilidade de rede e requisitos de privacidade e desempenho. É a base de detecção de anomalias comportamentais: picos de volume, conexões para IPs novos, protocolos incomuns e beaconing de C2 com intervalos regulares tornam-se visíveis através da análise de fluxo. Este componente é fundamental para detectar técnicas de [[t1071-application-layer-protocol|T1071-application-layer-protocol]] (comunicação C2 via HTTP/HTTPS/DNS), [[t1048-exfiltration-over-alternative-protocol|T1048-exfiltration-over-alternative-protocol]] (exfiltração via ICMP, DNS, FTP) e [[t1572-protocol-tunneling|T1572-protocol-tunneling]] (DNS-over-HTTPS, ICMP tunneling). Grupos como [[g0016-apt29]], [[g0032-lazarus-group]] e [[s0154-cobalt-strike]] utilizam fluxos de rede aparentemente legítimos para disfarçar comúnicações maliciosas. Em ambientes corporativos brasileiros, a análise de fluxo é tipicamente implementada via **NetFlow** nos roteadores Cisco/Juniper ou via **AWS VPC Flow Logs** / **Azure NSG Flow Logs** em nuvem. A correlação entre flows anômalos e alertas de [[t1046-network-service-discovery|T1046-network-service-discovery]] (scanning interno) é especialmente relevante para detecção precoce de movimentação lateral. ## Telemetria | Fonte | Log / Formato | Descrição | |-------|--------------|-----------| | Cisco IOS/NX-OS | **NetFlow v5/v9** | Fluxos bidirecionais com src/dst IP, portas, protocolo, bytes | | Juniper Junos | **J-Flow / sFlow** | Equivalente NetFlow para equipamentos Juniper | | Padrão IETF | **IPFIX (v10)** | Extensão do NetFlow com suporte a IPv6 e campos customizados | | AWS | **VPC Flow Logs** | Logs de tráfego IP aceito/rejeitado nas ENIs das instâncias | | Azure | **NSG Flow Logs v2** | Fluxos com campos de tráfego aceito/negado e bytes por direção | | GCP | **VPC Flow Logs** | Logs de fluxo por VM com agregação configurável | | Zeek (Bro) | **conn.log** | Sessões de rede completas com protocolo detectado automaticamente | | Suricata | **eve.json (flow events)** | Metadados de fluxo com detecção de protocolo e alertas | | pfSense/OPNsense | **pftop / filterlog** | Fluxos do firewall BSD open-source | | Elastic Agent | **Network Flow** | Captura de fluxos via Packetbeat ou integração NetFlow | ## Queries de Detecção ### KQL — Microsoft Sentinel: Beaconing C2 por Intervalos Regulares ```kql // Detecta conexões periódicas suspeitas (beaconing) AzureNetworkAnalytics_CL | where TimeGenerated > ago(1h) | summarize ConnectionCount = count(), BytesTotal = sum(BytesSentInSubnet_d), StdDevSeconds = stdev(TimeGenerated) by SrcIP_s, DestIP_s, DestPort_d, L4Protocol_s | where ConnectionCount > 20 and StdDevSeconds < 60 // intervalos muito regulares and DestPort_d !in (80, 443) // fora de portas web comuns | order by ConnectionCount desc ``` ### KQL — AWS VPC Flow Logs via Sentinel: Exfiltração por Volume ```kql AWSVPCFlow | where Action == "ACCEPT" and FlowDirection == "egress" | summarize TotalBytes = sum(Bytes), Sessions = count() by SrcAddr, DstAddr, DstPort, Protocol | where TotalBytes > 100000000 // > 100 MB para um único destino | order by TotalBytes desc ``` ### SPL — Splunk: Detecção de Port Scanning Interno (Lateral Movement) ```spl index=network sourcetype=cisco:ios:netflow | stats dc(dest_port) as unique_ports, count as flows by src_ip, dest_ip | where unique_ports > 50 AND flows > 200 | eval alert="Possível Port Scan Interno" | table src_ip, dest_ip, unique_ports, flows, alert | sort - unique_ports ``` ### SPL — Splunk: DNS Tunneling via Volume de Respostas ```spl index=network sourcetype=zeek:dns | stats count as queries, sum(response_bytes) as resp_bytes by query | where queries > 100 AND resp_bytes > 50000 | eval bytes_per_query = round(resp_bytes/queries,2) | where bytes_per_query > 300 | sort - bytes_per_query ``` ## Técnicas Relacionadas | Técnica | Nome | Relevância | |---------|------|-----------| | [[t1071-application-layer-protocol\|T1071-application-layer-protocol]] | Application Layer Protocol | C2 via HTTP/HTTPS/DNS detectável em flows | | [[t1048-exfiltration-over-alternative-protocol\|T1048-exfiltration-over-alternative-protocol]] | Exfiltration Over Alternative Protocol | Exfiltração via ICMP/DNS identificada por anomalia de volume | | [[t1572-protocol-tunneling\|T1572-protocol-tunneling]] | Protocol Tunneling | Encapsulamento de tráfego (DNS-over-HTTPS, ICMP tunnel) | | [[t1041-exfiltration-over-c2-channel\|T1041-exfiltration-over-c2-channel]] | Exfiltration Over C2 Channel | Volume anômalo de saída via canal C2 estabelecido | | [[t1046-network-service-discovery\|T1046-network-service-discovery]] | Network Service Discovery | Port scanning interno visível como fluxos com muitas portas distintas | ## Contexto LATAM > [!warning] Relevância para Brasil e América Latina > Análise de fluxo de rede é uma das ferramentas mais eficazes contra grupos ativos no Brasil como **LockBit**, **RansomHub** e atores ligados ao **cybercrime financeiro** (boletos fraudulentos, PIX fraud). Campanhas de malware bancário como **Grandoreiro** e **Mekotio** — com alto impacto no [[financial|setor financeiro]] brasileiro — utilizam comunicação C2 via HTTP disfarçada, detectável por análise de beaconing em flows. > > Empresas do setor de [[government|governo]] e [[financial|financeiro]] devem implementar análise de NetFlow/VPC Flow Logs com retenção mínima de 90 dias (requisito regulatório BACEN/LGPD). Ferramentas SIEM como **Splunk**, **Microsoft Sentinel** e **Elastic SIEM** são amplamente utilizadas no mercado LATAM para este fim. ## Referências - [MITRE ATT&CK — DC0078 Network Traffic Flow](https://attack.mitre.org/datacomponents/DC0078) - [Cisco NetFlow Overview](https://www.cisco.com/c/en/us/products/ios-nx-os-software/ios-netflow/index.html) - [AWS VPC Flow Logs Documentation](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) - [[ds0029-network-traffic|DS0029 — Network Traffic]] - [[_defenses|Hub de Defesas]] - [[_data-sources|Índice de Data Sources]]