det0163-detection-strategy-for-network-address-translation-traversal

# DET0163 — Detection Strategy for Network Address Translation Traversal ## Descrição Esta estratégia foca na detecção de adversários que utilizam técnicas de traversal de NAT para estabelecer canais de comunicação encobertos, mapeando para [[t1090-proxy|T1090 - Proxy]] e técnicas relacionadas a tunelamento. Ao explorar mecanismos como STUN, TURN, UPnP ou hole-punching UDP, atacantes conseguem comunicação peer-to-peer que contorna firewalls e inspeções de fronteira. Os indicadores chave incluem solicitações STUN/TURN para servidores externos não corporativos, tráfego UPnP inesperado originado de endpoints internos, e fluxos UDP bidirecionais de longa duração com portas efêmeras que correspondem ao padrão de hole-punching. A telemetria necessária inclui logs de firewall/NAT, NetFlow, e captura de DNS para identificar servidores de relay. A detecção eficaz requer baselining do tráfego UDP legítimo (VoIP, videoconferência) para reduzir falsos positivos. Correlacionar endereços IP de destino STUN/TURN com threat intelligence e verificar se o endpoint iniciador possui histórico de comportamento anômalo eleva a confiança do alerta. ## Indicadores de Detecção - Requisições STUN (porta 3478/UDP) para servidores externos desconhecidos - Tráfego UPnP (`239.255.255.250`) originado de workstations não-servidores - Fluxos UDP bidirecionais de longa duração com portas efêmeras simétricas - Hole-punching: dois endpoints iniciando conexão UDP simultaneamente para IPs externos - Registro DNS de nomes associados a serviços TURN/relay conhecidos por atores maliciosos ## Técnicas Relacionadas - [[t1090-proxy|T1090 - Proxy]] — uso de relay para ocultar origem do tráfego - [[t1572-protocol-tunneling|T1572 - Protocol Tunneling]] — encapsulamento de C2 em protocolos legítimos - [[t1071-application-layer-protocol|T1071 - Application Layer Protocol]] — comunicação C2 disfarçada - [[t1205-traffic-signaling|T1205 - Traffic Signaling]] — ativação remota relacionada ## Analytics Relacionadas - [[an0465-analytic-0465|AN0465 — Analytic 0465]] --- *Fonte: [MITRE ATT&CK — DET0163](https://attack.mitre.org/detectionstrategies/DET0163)*