det0049-behavioral-detection-of-network-history-and-configuration-tampering

# DET0049 — Behavioral Detection of Network History and Configuration Tampering ## Descrição Esta estratégia detecta modificações maliciosas em histórico de rede e configurações de conectividade com objetivo de remoção de evidências ou reconfiguração do ambiente para facilitar movimentação lateral e persistência. Adversários alteram configurações de proxy, DNS local, hosts file, e cache ARP para redirecionar tráfego, interceptar comúnicações ou cobrir rastros de atividade de rede prévia. Alinhada a [[t1070-indicator-removal|T1070-indicator-removal]] e suas subtécnicas de remoção de histórico, a técnica abrange: modificação de `C:\Windows\System32\drivers\etc\hosts`, alteração de configurações de proxy via `netsh`, limpeza de tabelas ARP e DNS cache (`ipconfig /flushdns`, `arp -d`), e remoção de entradas em `%APPDATA%\Microsoft\Windows\Recent\AutomaticDestinations`. Em ambientes Linux/macOS, inclui modificações a `/etc/hosts`, `/etc/resolv.conf` e cache de conexões de rede. A telemetria deve monitorar escrita no arquivo hosts (Sysmon EID 11), execução de comandos de limpeza de cache de rede, e modificações a configurações de proxy do sistema via `WinINet` ou `winhttp`. O contexto do processo executor é crítico — esses comandos executados por scripts ou processos não-administrativos são altamente suspeitos. ## Indicadores de Detecção - Escrita no arquivo `%WINDIR%\System32\drivers\etc\hosts` por processo diferente de editores de texto ou scripts de administração - Execução de `ipconfig /flushdns`, `arp -d *`, ou `netsh winhttp reset proxy` por processos não-privilegiados - Modificação de entradas de proxy em `HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings` - Adição de entradas no hosts file apontando domínios legítimos para IPs controlados pelo adversário - Comandos de limpeza de log de rede em sequência com limpeza de Event Log (combinação suspeita) ## Técnicas Relacionadas - [[t1070-indicator-removal|T1070-indicator-removal]] — remoção de indicadores de comprometimento - [[T1070.004-indicator-removal-file-deletion]] — exclusão de arquivos de histórico - [[t1565-data-manipulation|T1565-data-manipulation]] — manipulação de dados de configuração - [[t1557-adversary-in-the-middle|T1557-adversary-in-the-middle]] — reconfiguração de rede para interceptação - [[t1071-application-layer-protocol|T1071-application-layer-protocol]] — tunelamento via configuração de proxy maliciosa ## Analytics Relacionadas - [[an0133-analytic-0133|AN0133 — Analytic 0133]] - [[an0134-analytic-0134|AN0134 — Analytic 0134]] - [[an0135-analytic-0135|AN0135 — Analytic 0135]] - [[an0136-analytic-0136|AN0136 — Analytic 0136]] --- *Fonte: [MITRE ATT&CK — DET0049](https://attack.mitre.org/detectionstrategies/DET0049)*