det0195-behavioral-detection-of-system-network-configuration-discovery

# DET0195 — Behavioral Detection of System Network Configuration Discovery ## Descrição Esta estratégia detecta a enumeração de configurações de rede do sistema por adversários durante a fase de reconhecimento interno — mapeada para [[T1016 — System Network Configuration Discovery]]. Adversários coletam informações sobre adaptadores de rede, rotas, configurações DNS, servidores proxy, e relações de confiança de rede para planejar movimento lateral e identificar alvos de alta valor. A abordagem comportamental correlaciona execução de múltiplos comandos de descoberta de rede em sequência rápida: `ipconfig`, `arp -a`, `netstat`, `route print`, `nslookup`, `nbtstat`. O padrão típico envolve um processo parent suspeito (shell, script, malware) executando série de comandos de diagnóstico de rede que individualmente são benignos mas em conjunto indicam reconhecimento. A detecção é válida em Windows, Linux (`ifconfig`, `ip route`, `ss`) e macOS (`networksetup`, `scutil`). Cinco analytics cobrem plataformas e métodos: enumeração via `ipconfig`/`ifconfig` em sequência, consultas ARP em múltiplos hosts, enumeração de DNS via `nslookup`/`dig`, chamadas WMI a `Win32_NetworkAdapterConfiguration`, e uso de PowerShell `Get-NetIPConfiguration` por processos não-administrativos. ## Indicadores de Detecção - Sequência `ipconfig /all` → `arp -a` → `netstat -an` → `route print` em < 120 segundos - `nslookup` com consultas a múltiplos domínios internos em curto intervalo - `nbtstat -A` contra múltiplos IPs da rede interna (varredura NetBIOS) - WMI query `SELECT * FROM Win32_NetworkAdapterConfiguration` por processo não-padrão - `Get-NetIPConfiguration` ou `Get-NetRoute` via PowerShell por processo de background - `ip route show` ou `ss -tulpn` executados por processos não-interativos no Linux - `networksetup -listallnetworkservices` ou `scutil --dns` por processos não-administrativos no macOS ## Técnicas Relacionadas - [[t1016-system-network-configuration-discovery|T1016 — System Network Configuration Discovery]] - [[t1018-remote-system-discovery|T1018 — Remote System Discovery]] - [[t1049-system-network-connections-discovery|T1049 — System Network Connections Discovery]] - [[t1135-network-share-discovery|T1135 — Network Share Discovery]] ## Analytics Relacionadas - [[an0559-analytic-0559|AN0559 — Analytic 0559]] - [[an0560-analytic-0560|AN0560 — Analytic 0560]] - [[an0561-analytic-0561|AN0561 — Analytic 0561]] - [[an0562-analytic-0562|AN0562 — Analytic 0562]] - [[an0563-analytic-0563|AN0563 — Analytic 0563]] --- *Fonte: [MITRE ATT&CK — DET0195](https://attack.mitre.org/detectionstrategies/DET0195)*