det0376-behavioral-detection-strategy-for-network-service-discovery-across-platf

# DET0376 — Behavioral Detection Strategy for Network Service Discovery Across Platforms ## Descrição A descoberta de serviços de rede é uma etapa fundamental na fase de reconhecimento interno, onde o adversário mapeia serviços ativos na rede local para identificar alvos de movimentação lateral, servidores com vulnerabilidades conhecidas e serviços de alta importância (databases, AD, sistemas de backup, servidores de arquivo). Ferramentas como `nmap`, `masscan`, `netstat`, `ss`, `arp -a`, `net view`, e scripts PowerShell de enumeração de serviços são empregadas tanto manualmente quanto via automação de frameworks como [[Metasploit]] e [[s0154-cobalt-strike|Cobalt Strike]]. O comportamento é detectável pelo padrão de conexões TCP SYN sem handshake completo (port scanning), consultas ICMP em broadcast, enumeração de serviços via NetBIOS/LLMNR, e execução de utilitários de varredura em estações de trabalho comuns (que raramente realizam esse tipo de operação). Em ambientes multiplataforma, a mesma campanha pode usar `nmap` em Linux, `Invoke-Portscan.ps1` em Windows e scripts bash em macOS, tornando a detecção por ferramenta específica insuficiente — é necessária detecção por comportamento de rede. A estratégia correlaciona padrões de tráfego de rede (múltiplas conexões SYN para portas variadas do mesmo host origem), execução de ferramentas de scanning, e queries de broadcast/multicast anômalas em múltiplos sensores de rede simultaneamente. ## Indicadores de Detecção - Host único gerando conexões TCP SYN para > 20 portas distintas em menos de 60 segundos - Execução de `nmap`, `masscan`, `zmap` ou `Invoke-Portscan` em estação de trabalho não-administrativa - Queries ARP para subnets inteiras em sequência rápida (ARP sweeping) - Tráfego NetBIOS NS para múltiplos hosts em broadcast de rede local - `netstat -an` ou `ss -tulnp` executados repetidamente em intervalos curtos (< 30s) - Conexões a portas de serviço administrativo (22, 3389, 445, 1433, 5985) em múltiplos hosts sequencialmente ## Técnicas Relacionadas - [[t1046-network-service-discovery|T1046 — Network Service Discovery]] - [[t1018-remote-system-discovery|T1018 — Remote System Discovery]] - [[t1049-system-network-connections-discovery|T1049 — System Network Connections Discovery]] - [[t1135-network-share-discovery|T1135 — Network Share Discovery]] - [[t1016-system-network-configuration-discovery|T1016 — System Network Configuration Discovery]] ## Analytics Relacionadas - [[an1057-analytic-1057|AN1057 — Analytic 1057]] - [[an1058-analytic-1058|AN1058 — Analytic 1058]] - [[an1059-analytic-1059|AN1059 — Analytic 1059]] - [[an1060-analytic-1060|AN1060 — Analytic 1060]] --- *Fonte: [MITRE ATT&CK — DET0376](https://attack.mitre.org/detectionstrategies/DET0376)*