dc0082-network-connection-creation

# DC0082 — Network Connection Creation > [!info] Data Component MITRE ATT&CK > **ID:** DC0082 | **Fonte pai:** [[ds0029-network-traffic|DS0029 — Network Traffic]] | **Cobertura:** Estabelecimento inicial de sessão de rede (socket, processo, IPs, portas) ## Descrição Network Connection Creation registra o momento exato em que um sistema ou processo inicia uma conexão de rede para um endpoint local ou remoto. Diferente do Network Traffic Flow (que captura sessões completas), este componente foca no *evento de criação* da conexão — capturando qual processo iniciou a conexão, para qual destino, via qual porta e protocolo. Este componente é especialmente valioso por sua capacidade de correlacionar **processo → conexão de rede**, algo que logs de firewall tradicionais não fornecem. Com ferramentas como **Sysmon** (Event ID 3) ou agentes EDR, é possível identificar qual executável iniciou uma conexão para um IP malicioso — informação crucial para análise forense e resposta a incidentes. A detecção de conexões de rede iniciadas por processos incomuns (ex: `word.exe` conectando para IP externo, `powershell.exe` abrindo socket para porta 4444) é a assinatura clássica de execução de payload pós-exploração. Grupos como [[g0016-apt29]], [[g0032-lazarus-group]] e [[s0154-cobalt-strike]] estabelecem conexões C2 logo após a execução inicial do implante. Em ambientes corporativos brasileiros, a correlação entre Network Connection Creation e eventos de [[t1021-remote-services|T1021-remote-services]] (RDP, SMB, WinRM) é crítica para detectar movimentação lateral — um dos padrões mais frequentes em incidentes de ransomware respondidos por equipes de SOC no setor [[financial]] e [[government]]. ## Telemetria | Fonte | Evento / Log | Descrição | |-------|-------------|-----------| | Windows (Sysmon) | **EID 3** — Network Connection Initiated | Processo, PID, src/dst IP, portas, estado da conexão | | Windows (WFP) | **EID 5156** — Filtering Platform Connection | Conexões permitidas pelo Windows Filtering Platform | | Windows (WFP) | **EID 5157** — Filtering Platform Connection Blocked | Conexões bloqueadas (tentativas) | | Windows (WFP) | **EID 5158** — Filtering Platform Bind | Processo vinculando porta de escuta local | | Linux AuditD | **syscall: connect** | Toda chamada de sistema `connect()` com src/dst | | Linux AuditD | **syscall: bind** | Processo abrindo socket de escuta | | Zeek (Bro) | **conn.log** | Sessões completas com processo inferido via correlação | | macOS | **EndpointSecurity framework** | Eventos de conexão de rede com PID/processo | | AWS | **VPC Flow Logs (ACCEPT)** | Conexões aceitas no nível de ENI | | Azure | **NSG Flow Logs** | Conexões aceitas/negadas por Network Security Group | | CrowdStrike EDR | **NetworkConnectIP4/IP6** | Conexões de rede com processo e hash | | Microsoft Defender | **DeviceNetworkEvents** | Conexões iniciadas com processo pai/filho | ## Queries de Detecção ### KQL — Microsoft Sentinel: Processo Incomum Iniciando Conexão de Rede ```kql DeviceNetworkEvents | where TimeGenerated > ago(24h) | where InitiatingProcessFileName in~ ( "word.exe","excel.exe","powerpnt.exe","outlook.exe", "wscript.exe","cscript.exe","mshta.exe","rundll32.exe", "regsvr32.exe","certutil.exe","bitsadmin.exe" ) | where RemoteIPType != "Private" | summarize Connections = count(), Destinations = make_set(RemoteIP), Ports = make_set(RemotePort) by DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine | where Connections > 3 | order by Connections desc ``` ### KQL — Sentinel: Conexão em Porta Não Padrão (T1571) ```kql DeviceNetworkEvents | where ActionType == "ConnectionSuccess" | where RemotePort !in (80, 443, 53, 22, 25, 587, 465, 8080, 8443, 3389, 445) | where RemoteIPType == "Public" | summarize count() by DeviceName, InitiatingProcessFileName, RemotePort, RemoteIP | where count_ > 5 | order by count_ desc ``` ### SPL — Splunk: Sysmon EID 3 — PowerShell Conectando para External IPs ```spl index=windows sourcetype=XmlWinEventLog:Microsoft-Windows-Sysmon/Operational EventCode=3 Image IN ("*\\powershell.exe","*\\pwsh.exe","*\\cmd.exe") NOT DestinationIsIpv6=true NOT DestinationIp IN ("10.*","192.168.*","172.16.*","172.17.*","172.18.*", "172.19.*","172.20.*","172.21.*","172.22.*","172.23.*", "172.24.*","172.25.*","172.26.*","172.27.*","172.28.*", "172.29.*","172.30.*","172.31.*","127.*") | stats count by Computer, Image, CommandLine, DestinationIp, DestinationPort, _time | sort - _time ``` ### SPL — Splunk: Detecção de C2 via Porta 4444 ou 4445 (Metasploit/Cobalt Strike) ```spl index=windows sourcetype=XmlWinEventLog:Microsoft-Windows-Sysmon/Operational EventCode=3 (DestinationPort=4444 OR DestinationPort=4445 OR DestinationPort=8888 OR DestinationPort=1337 OR DestinationPort=9001) | table _time, Computer, Image, DestinationIp, DestinationPort, CommandLine | sort - _time ``` ## Técnicas Relacionadas | Técnica | Nome | Relevância | |---------|------|-----------| | [[t1071-application-layer-protocol\|T1071-application-layer-protocol]] | Application Layer Protocol | Conexões C2 via HTTP/HTTPS/DNS estabelecidas por implantes | | [[t1021-remote-services\|T1021-remote-services]] | Remote Services | Conexões RDP/SMB/WinRM para movimentação lateral | | [[t1095-non-application-layer-protocol\|T1095-non-application-layer-protocol]] | Non-Application Layer Protocol | C2 via ICMP ou raw sockets detectados em criação de conexão | | [[t1571-non-standard-port\|T1571-non-standard-port]] | Non-Standard Port | Serviços legítimos em portas incomuns como evasão | | [[t1105-ingress-tool-transfer\|T1105-ingress-tool-transfer]] | Ingress Tool Transfer | Download de ferramentas adicionais via nova conexão de rede | ## Contexto LATAM > [!warning] Relevância para Brasil e América Latina > Network Connection Creation é a telemetria mais diretamente útil para detecção de **RATs bancários** prevalentes no Brasil — **Grandoreiro**, **Mekotio**, **Guildma** e **Javali** — que estabelecem conexões C2 persistentes a servidores controlados por atores do [[financial|setor financeiro]] criminal. O padrão de conexão desses malwares (processo Java ou navegador conectando para IPs brasileiros ou paraguaios em portas altas) é detectável com as queries acima. > > Para SOCs brasileiros: priorize o monitoramento de conexões iniciadas por processos do Office (`winword.exe`, `excel.exe`) e processos de scripting (`wscript.exe`, `mshta.exe`). Campanhas de phishing direcionadas ao [[government]] e [[financial]] usam documentos Office com macros como vetor inicial, seguido de conexão C2 imediata. ## Referências - [MITRE ATT&CK — DC0082 Network Connection Creation](https://attack.mitre.org/datacomponents/DC0082) - [Sysmon Event ID 3 — Network Connection](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon) - [Windows Event ID 5156 — WFP](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-5156) - [[ds0029-network-traffic|DS0029 — Network Traffic]] - [[_defenses|Hub de Defesas]] - [[_data-sources|Índice de Data Sources]]