det0525-system-discovery-via-native-and-remote-utilities

# DET0525 — System Discovery via Native and Remote Utilities ## Descrição O reconhecimento de sistemas via utilitários nativos e remotos é uma fase crítica de pós-comprometimento ([[t1082-system-information-discovery|T1082 — System Information Discovery]]) onde adversários coletam informações sobre o ambiente do alvo para planejar movimentação lateral e identificar ativos de alto valor. Ferramentas nativas do Windows como `systeminfo`, `net view`, `nltest`, `dsquery`, `whoami`, `ipconfig`, `arp`, `route` e `tasklist` são regularmente abusadas por atacantes, assim como equivalentes Linux/macOS como `uname`, `hostname`, `id`, `ps`, `netstat` e `ifconfig`. Essas ferramentas são LOLBins (Living Off the Land Binaries) — utilitários legítimos do sistema que não acionam alertas de antivírus. A detecção eficaz requer linha de base comportamental — identificar quais usuários, horários e contextos de processo são normais para cada ferramenta. Um administrador executando `systeminfo` via RDP durante horário comercial é diferente de um processo de serviço executando sequencialmente `systeminfo`, `net view`, `nltest /dclist`, `arp -a` em segundos — padrão típico de ferramentas de enumeração automatizada como `SharpHound` (BloodHound) ou `ADRecon`. O volume e a sequência de comandos são mais relevantes que qualquer comando individual. Para descoberta remota, o monitoramento de WMI (`wmic`), PowerShell remoto (`Invoke-Command -ComputerName`) e consultas LDAP/AD em volume anormal para a conta são indicadores críticos. O [[_data-sources|data source]] de Process Creation (Sysmon Event ID 1) combinado com Command Line logging é a fonte mais valiosa para esta estratégia, permitindo reconstrução da linha do tempo de descoberta do atacante. ## Indicadores de Detecção - Execução sequencial de múltiplos utilitários de descoberta (`systeminfo`, `net`, `nltest`, `arp`, `route`) em menos de 60 segundos pelo mesmo processo/usuário - `nltest /domain_trusts` ou `nltest /dclist` por processo não-administrativo ou fora do horário normal - Consultas LDAP em volume anormal (`dsquery`, `Get-ADUser -Filter *`) por conta de serviço ou usuário padrão - `wmic /node:<remotehost>` executado para múltiplos hosts distintos em sequência (enumeração de rede) - PowerShell com `Get-NetNeighbor`, `Get-ADDomain` ou `Invoke-Command -ComputerName *` por processo não-administrativo - `tasklist /v /s <remotehost>` ou `sc query` em múltiplos hosts (inventário remoto de processos) ## Técnicas Relacionadas - [[t1082-system-information-discovery|T1082 — System Information Discovery]] — técnica principal coberta por esta estratégia - [[t1018-remote-system-discovery|T1018 — Remote System Discovery]] — descoberta de sistemas remotos na rede - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] — enumeração de grupos e permissões AD - [[t1087-account-discovery|T1087 — Account Discovery]] — enumeração de contas de usuário - [[t1046-network-service-discovery|T1046 — Network Service Discovery]] — varredura de serviços na rede interna ## Analytics Relacionadas - [[an1452-analytic-1452|AN1452 — Analytic 1452]] - [[an1453-analytic-1453|AN1453 — Analytic 1453]] - [[an1454-analytic-1454|AN1454 — Analytic 1454]] - [[an1455-analytic-1455|AN1455 — Analytic 1455]] - [[an1456-analytic-1456|AN1456 — Analytic 1456]] - [[an1457-analytic-1457|AN1457 — Analytic 1457]] --- *Fonte: [MITRE ATT&CK — DET0525](https://attack.mitre.org/detectionstrategies/DET0525)*