det0320-detection-of-system-network-connections-discovery-across-platforms

# DET0320 — Detection of System Network Connections Discovery Across Platforms ## Descrição Esta estratégia detecta o uso de comandos e ferramentas de reconhecimento de rede por adversários para mapear conexões ativas, portas abertas e topologia de rede interna. A técnica [[t1049-system-network-connections-discovery|T1049-system-network-connections-discovery]] é executada frequentemente nos estágios iniciais de pós-comprometimento para identificar alvos de movimento lateral e sistemas de interesse. A detecção foca em processos incomuns executando ferramentas como `netstat`, `ss`, `Get-NetTCPConnection`, `lsof -i` e `nmap` em contextos anômalos — especialmente quando iniciados por processos não interativos ou scripts. Em Windows, o uso de WMI para enumerar conexões também é um sinal relevante. Telemetria de processo com linha de comando completa é indispensável. Em ambientes LATAM com grande número de servidores Windows legados, o monitoramento de `netstat -ano` executado por contas de serviço ou scripts não identificados é particularmente útil para detectar movimentação de grupos como ransomware operators antes da fase de impacto. ## Indicadores de Detecção - Execução de `netstat`, `ss`, `nmap` ou `lsof -i` por processos não interativos - `Get-NetTCPConnection` ou `Get-NetUDPEndpoint` via PowerShell por usuários não administrativos - Uso de WMI (`Win32_NetworkConnection`, `MSFT_NetTCPConnection`) para enumerar conexões - Execução em burst de comandos de descoberta de rede em sequência rápida - Ferramentas de rede executadas a partir de diretórios temporários (Temp, AppData) - Processos de script (cmd, bash, python) enumerando conexões sem contexto de administração legítimo ## Técnicas Relacionadas - [[t1049-system-network-connections-discovery|T1049-system-network-connections-discovery]] — técnica primária - [[t1046-network-service-discovery]] — varredura de serviços de rede - [[t1016-system-network-configuration-discovery|T1016-system-network-configuration-discovery]] — descoberta de configuração de rede - [[t1082-system-information-discovery|T1082-system-information-discovery]] — descoberta de informações do sistema - [[t1021-remote-services|T1021-remote-services]] — uso de conexões descobertas para movimento lateral ## Analytics Relacionadas - [[an0903-analytic-0903|AN0903 — Analytic 0903]] - [[an0904-analytic-0904|AN0904 — Analytic 0904]] - [[an0905-analytic-0905|AN0905 — Analytic 0905]] - [[an0906-analytic-0906|AN0906 — Analytic 0906]] - [[an0907-analytic-0907|AN0907 — Analytic 0907]] - [[an0908-analytic-0908|AN0908 — Analytic 0908]] --- *Fonte: [MITRE ATT&CK — DET0320](https://attack.mitre.org/detectionstrategies/DET0320)*