det0314-detection-strategy-for-network-sniffing-across-platforms

# DET0314 — Detection Strategy for Network Sniffing Across Platforms ## Descrição Esta estratégia detecta o uso de ferramentas de captura de pacotes de rede (network sniffing) por adversários para interceptar tráfego não criptografado, capturar credenciais transmitidas em plaintext, e realizar reconhecimento de topologia de rede. O sniffing é especialmente eficaz em ambientes com tráfego legado não-TLS (HTTP, FTP, Telnet, SMTP), protocolos de rede internos (Kerberos sem LDAP-S, NTLM) e em redes com switches mal configurados que permitem promiscuous mode ou SPAN ports acessíveis. Os indicadores técnicos incluem interfaces de rede configuradas em modo promíscuo (`IFF_PROMISC` no Linux, equivalente no Windows via raw socket), uso de ferramentas como `tcpdump`, `Wireshark` (captura headless), `tshark`, `NetworkMiner` ou `dsniff` em sistemas que não são de análise de rede, e criação de arquivos `.pcap` em paths de usuário por processos não-monitoramento. No Windows, o carregamento de `NPcap` ou `WinPcap` por processo não autorizado é um indicador adicional. Em redes corporativas, o sniffing é particularmente eficaz após comprometimento de um switch ou gateway, onde SPAN (port mirroring) pode ser configurado para capturar tráfego de toda uma VLAN. [[g0046-fin7|FIN7]] e grupos de cybercrime financeiro utilizam sniffing para capturar dados de cartão de crédito em redes de POS não segmentadas. ## Indicadores de Detecção - Interface de rede configurada em modo promíscuo em host que não é analyzer/IDS/tap legítimo - `tcpdump`, `tshark` ou `Wireshark` executado por conta não pertencente ao time de infraestrutura de rede - Arquivo `.pcap` criado em `%TEMP%` ou `/tmp/` por processo não-ferramenta-de-análise - Carregamento de driver `NPcap` ou `WinPcap` por processo que não é Wireshark ou ferramenta de monitoramento aprovada - `socket(AF_PACKET, SOCK_RAW)` ou similar criado por processo de usuário não-root sem justificativa - Captura de pacotes em sistema de produção (servidor de banco de dados, AD) onde análise de rede não é operação esperada ## Técnicas Relacionadas - [[t1040-network-sniffing|T1040 — Network Sniffing]] - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1046-network-service-discovery|T1046 — Network Service Discovery]] ## Analytics Relacionadas - [[an0875-analytic-0875|AN0875 — Analytic 0875]] - [[an0876-analytic-0876|AN0876 — Analytic 0876]] - [[an0877-analytic-0877|AN0877 — Analytic 0877]] - [[an0878-analytic-0878|AN0878 — Analytic 0878]] - [[an0879-analytic-0879|AN0879 — Analytic 0879]] --- *Fonte: [MITRE ATT&CK — DET0314](https://attack.mitre.org/detectionstrategies/DET0314)*