det0403-detection-strategy-for-traffic-duplication-via-mirroring-in-iaas-and-net

# DET0403 — Detection Strategy for Traffic Duplication via Mirroring in IaaS and Network Devices ## Descrição A duplicação de tráfego via espelhamento (port mirroring, traffic mirroring) é uma técnica de coleta em que adversários, após comprometer dispositivos de rede ou ambientes IaaS, configuram sessões de espelhamento para capturar e exfiltrar cópias do tráfego de rede legítimo da vítima. Em ambientes AWS, isso pode ser feito via VPC Traffic Mirroring; em dispositivos físicos, via SPAN ports configuradas maliciosamente. A detecção exige monitoramento das APIs de gerenciamento de infraestrutura e logs de configuração de dispositivos. No contexto cloud, criação não autorizada de sessões de Traffic Mirroring no AWS VPC, ou configurações de Network Watcher no Azure, são sinais diretos de abuso. Em dispositivos de rede on-premises, mudanças não programadas na configuração de SPAN/RSPAN ports nos logs de auditoria de switches e roteadores devem disparar alertas imediatos. Grupos de espionagem avançada como [[g1017-volt-typhoon]] e [[g0096-apt41]] têm explorado dispositivos de rede comprometidos para espelhar tráfego sensível, incluindo credenciais e dados proprietários. A correlação entre criação de mirror sessions e aumento do tráfego de saída a partir do mesmo segmento de rede é um padrão de alta fidelidade para essa técnica. ## Indicadores de Detecção - Criação de sessões VPC Traffic Mirroring não documentadas em logs AWS CloudTrail - Configurações SPAN/RSPAN em switches adicionadas fora de janelas de manutenção aprovadas - Aumento de tráfego de saída em interfaces que não hospedam serviços com alto volume esperado - Chamadas de API `CreateTrafficMirrorSession` ou equivalentes de origem não corporativa - Alterações em ACLs de dispositivos de rede correlacionadas com novos fluxos de tráfego duplicado ## Técnicas Relacionadas - [[t1020-automated-exfiltration|T1020 — Automated Exfiltration]] - [[t1040-network-sniffing|T1040 — Network Sniffing]] - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] - [[t1602-data-from-configuration-repository|T1602 — Data from Configuration Repository]] - [[t1565-data-manipulation|T1565 — Data Manipulation]] ## Analytics Relacionadas - [[an1131-analytic-1131|AN1131 — Analytic 1131]] - [[an1132-analytic-1132|AN1132 — Analytic 1132]] --- *Fonte: [MITRE ATT&CK — DET0403](https://attack.mitre.org/detectionstrategies/DET0403)*