det0464-behavioral-detection-of-wi-fi-discovery-activity

# DET0464 — Behavioral Detection of Wi-Fi Discovery Activity ## Descrição A descoberta de redes Wi-Fi por adversários em sistemas comprometidos serve para mapear o ambiente físico do alvo, identificar redes adicionais às quais o sistema possui acesso (potenciais vetores de movimentação lateral), coletar informações geográficas baseadas em SSIDs conhecidos (Wi-Fi geolocation), ou identificar redes corporativas isoladas que possam ser alcançadas por meio do dispositivo comprometido. Em ambientes corporativos, sistemas com interfaces Wi-Fi habilitadas — como laptops executivos, estações de trabalho com Wi-Fi, e dispositivos IoT — podem ser usados como pontes para redes segmentadas ou como fonte de informação de reconhecimento. Adversários utilizam APIs de sistema operacional para enumerar redes disponíveis: `netsh wlan show networks` (Windows), `iwlist scan` / `nmcli device wifi list` (Linux), `airport -s` (macOS). A detecção comportamental identifica quando processos não relacionados a gerenciamento de rede realizam consultas de enumeração Wi-Fi, especialmente em momentos que não correspondem a atividade de conexão legítima do usuário. A correlação com outros indicadores de comprometimento (acesso a credenciais, execução de ferramentas de reconhecimento) eleva a fidedignidade do alerta. ## Indicadores de Detecção - Execução de `netsh wlan show networks` por processo que não sejá gerenciador de rede ou aplicativo legítimo do usuário - Chamada à API `WlanGetAvailableNetworkList` por processo de background sem interface de usuário visível - Uso de `iwlist`, `nmcli device wifi list` ou `airport -s` em processo não-daemon de rede - Múltiplas consultas de enumeração Wi-Fi em curto período por processo de alta suspeita - Script PowerShell ou Python realizando scan Wi-Fi e escrevendo resultado em arquivo temporário - Correlação: enumeração Wi-Fi seguida de tentativa de conexão a rede não previamente conhecida ## Técnicas Relacionadas - [[t1016-system-network-configuration-discovery|T1016 — System Network Configuration Discovery]] - [[T1016001-internet-connection-discovery|T1016.001 — Internet Connection Discovery]] - [[t1049-system-network-connections-discovery|T1049 — System Network Connections Discovery]] - [[t1018-remote-system-discovery|T1018 — Remote System Discovery]] - [[t1046-network-service-discovery|T1046 — Network Service Discovery]] - [[t1040-network-sniffing|T1040 — Network Sniffing]] ## Analytics Relacionadas - [[an1280-analytic-1280|AN1280 — Analytic 1280]] - [[an1281-analytic-1281|AN1281 — Analytic 1281]] - [[an1282-analytic-1282|AN1282 — Analytic 1282]] --- *Fonte: [MITRE ATT&CK — DET0464](https://attack.mitre.org/detectionstrategies/DET0464)*