det0453-detection-strategy-for-snmp-mib-dump-on-network-devices

# DET0453 — Detection Strategy for SNMP (MIB Dump) on Network Devices ## Descrição O protocolo SNMP (Simple Network Management Protocol) é amplamente utilizado para monitoramento e gerenciamento de equipamentos de rede. A MIB (Management Information Base) armazena informações detalhadas sobre a configuração, estado e topologia de dispositivos como roteadores, switches e firewalls. Adversários que obtêm acesso a community strings SNMP (especialmente a string "public" ou strings fracas) podem realizar MIB dumps para coletar informações de topologia de rede, tabelas de roteamento, interfaces, endereços IP e configurações de VLAN. Community strings SNMP v1 e v2c são transmitidas em texto claro e são frequentemente configuradas com valores padrão fracos. Um adversário com acesso à rede pode realizar consultas SNMP bulk (`snmpbulkwalk`, `snmpwalk`) para extrair a MIB completa de um dispositivo, obtendo um mapa detalhado da infraestrutura de rede que facilita movimento lateral e identificação de alvos de alto valor. A detecção envolve monitorar tráfego SNMP originado de hosts que não são sistemas de gerenciamento de rede (NMS) autorizados, identificar volume anômalo de consultas SNMP (indicativo de MIB dump) e alertar sobre tentativas de acesso SNMP com community strings incorretas (indicando atividade de força bruta ou reconhecimento). ## Indicadores de Detecção - Tráfego SNMP (UDP 161/162) originado de host não listado como NMS autorizado - Volume alto de consultas SNMP em curto período (padrão de MIB dump via `snmpwalk`/`snmpbulkwalk`) - Múltiplas tentativas de autenticação SNMP com community strings diferentes (brute force) - SNMP GetBulk request para OIDs de tabelas de roteamento, ARP, interface ou topologia - Acesso SNMP a dispositivos críticos (core routers, firewalls) por host de workstation ou servidor não-NMS - Log de dispositivo de rede indicando acesso SNMP de IP não reconhecido ## Técnicas Relacionadas - [[T1602002-network-device-configuration-dump|T1602.002 — Network Device Configuration Dump]] - [[t1602-data-from-configuration-repository|T1602 — Data from Configuration Repository]] - [[t1046-network-service-discovery|T1046 — Network Service Discovery]] - [[t1018-remote-system-discovery|T1018 — Remote System Discovery]] - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] - [[t1590-gather-victim-network-information|T1590 — Gather Victim Network Information]] ## Analytics Relacionadas - [[an1249-analytic-1249|AN1249 — Analytic 1249]] --- *Fonte: [MITRE ATT&CK — DET0453](https://attack.mitre.org/detectionstrategies/DET0453)*