det0536-detection-strategy-for-wi-fi-networks

# DET0536 — Detection Strategy for Wi-Fi Networks ## Descrição A exploração de redes Wi-Fi para acesso inicial ([[t1528-steal-application-access-token|T1528]]) e movimentação engloba técnicas como Evil Twin (AP falso), deauthentication attacks, captura de handshake WPA2 para cracking offline e exploração de vulnerabilidades em implementações de protocolos Wi-Fi (KRACK, DragonBlood para WPA3). Adversários podem posicionar-se fisicamente próximos ao alvo ou explorar clientes que se conectam automaticamente a redes conhecidas fora do perímetro corporativo. Ataques de "nearest neighbor" — como documentado contra a Russia-nexus [[g0007-apt28|APT28]] — demonstram o uso de redes Wi-Fi comprometidas em organizações próximas para pivoting lateral sem presença física no alvo final. A detecção de ataques Wi-Fi em ambiente corporativo requer infraestrutura de Wireless Intrusion Detection/Prevention System (WIDS/WIPS). Ataques de deautenticação (802.11 management frame spoofing) são detectáveis pelo volume anormal de frames de deauth de um BSSID específico. Evil Twin attacks geram dois APs com o mesmo SSID em canais diferentes — sistemas WIDS identificam o AP não-autorizado por diferença de BSSID e localização de sinal. A enumeração de redes Wi-Fi por dispositivos conectados (via `netsh wlan show networks` em Windows ou `airport -s` em macOS) em escala e horários incomuns indica reconhecimento. O monitoramento de logs de autenticação Wi-Fi (802.1X, RADIUS) combinado com detecção de dispositivos não-autorizados (MAC não cadastrado em inventário) e análise de frames de gerenciamento 802.11 são os pilares da estratégia. A implementação de Management Frame Protection (MFP/PMF) mitiga ataques de deauth, mas a detecção permanece necessária para identificar tentativas mesmo que bloqueadas. ## Indicadores de Detecção - Volume anormal de frames 802.11 Deauthentication/Disassociation de BSSID específico (possível deauth attack) - SSID corporativo transmitido por BSSID não cadastrado no inventário de APs autorizados (Evil Twin) - Dispositivo com MAC address não listado no inventário corporativo autenticando em rede corporativa - Múltiplas tentativas de autenticação WPA2/WPA3 falhas do mesmo cliente em curto período (handshake capture attempts) - Execução de `netsh wlan show networks` ou `netsh wlan show profiles` por processo não-administrativo - Conexão de endpoint corporativo a SSID idêntico ao corporativo mas em canal ou BSSID diferente ## Técnicas Relacionadas - [[T1465-rogue-wi-fi-access-points|T1465 — Rogue Wi-Fi Access Points]] — criação de APs falsos para interceptação - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] — interceptação de tráfego Wi-Fi via Evil Twin - [[t1040-network-sniffing|T1040 — Network Sniffing]] — captura de tráfego em rede Wi-Fi comprometida - [[t1110-brute-force|T1110 — Brute Force]] — cracking offline de handshakes WPA2 capturados - [[t1016-system-network-configuration-discovery|T1016 — System Network Configuration Discovery]] — enumeração de redes Wi-Fi disponíveis ## Analytics Relacionadas - [[an1476-analytic-1476|AN1476 — Analytic 1476]] - [[an1477-analytic-1477|AN1477 — Analytic 1477]] - [[an1478-analytic-1478|AN1478 — Analytic 1478]] - [[an1479-analytic-1479|AN1479 — Analytic 1479]] --- *Fonte: [MITRE ATT&CK — DET0536](https://attack.mitre.org/detectionstrategies/DET0536)*