det0574-detection-strategy-for-remote-system-enumeration-behavior

# DET0574 — Detection Strategy for Remote System Enumeration Behavior ## Descrição A enumeração de sistemas remotos ([[t1018-remote-system-discovery|T1018]]) é uma etapa crítica na fase de descoberta/reconnaissance interna de um ataque, executada após o comprometimento inicial para mapear o ambiente da vítima antes de movimentação lateral. Ferramentas como `net view`, `nltest /dclist`, `ping` em varredura sequencial, `nmap`, `masscan` e consultas NetBIOS/LDAP são utilizadas por adversários para identificar servidores críticos, controladores de domínio, sistemas de backup e ativos de alto valor. O comportamento típico de enumeração maliciosa se distingue do legítimo pelo volume e velocidade: um administrador raramente verifica centenas de hosts em segundos. A varredura de toda a subnet (`192.168.x.0/24`) por uma workstation de usuário comum, ou consultas LDAP buscando todos os computadores do domínio (`(&(objectClass=computer))`) por uma conta de serviço são padrões altamente suspeitos. Grupos como [[conti]], [[blackbasta]] e [[s0446-ryuk]] executam essa fase sistematicamente antes da implantação do ransomware. A detecção deve correlacionar múltiplas fontes: Sysmon (Event ID 3 — conexões de rede), logs de firewall interno, eventos de autenticação (falhas 4625 em múltiplos hosts), e consultas DNS em massa. Um único host gerando conexões TCP SYN para múltiplos destinos na porta 445 (SMB) em curto período é o padrão mais comum de detecção de enumeração lateral. ## Indicadores de Detecção - Workstation gerando > 50 conexões TCP/ICMP para IPs internos distintos em < 60 segundos - `net view /domain` ou `nltest /dclist:DOMAIN` executado por usuário não-TI - Consulta LDAP `(&(objectClass=computer))` retornando > 100 objetos por conta de usuário - Sysmon Event ID 3: múltiplas conexões à porta 445 de único source IP em burst - `arp -a`, `nbtstat -n` ou `nmap` executados por processo suspeito em ambiente corporativo - Scan de porta 22, 3389, 445 originado de servidor que não é scanner de vulnerabilidades autorizado ## Técnicas Relacionadas - [[t1018-remote-system-discovery|T1018 — Remote System Discovery]] - [[t1046-network-service-discovery|T1046 — Network Service Discovery]] - [[t1135-network-share-discovery|T1135 — Network Share Discovery]] - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1021-remote-services|T1021 — Remote Services]] ## Analytics Relacionadas - [[an1583-analytic-1583|AN1583 — Analytic 1583]] - [[an1584-analytic-1584|AN1584 — Analytic 1584]] - [[an1585-analytic-1585|AN1585 — Analytic 1585]] - [[an1586-analytic-1586|AN1586 — Analytic 1586]] - [[an1587-analytic-1587|AN1587 — Analytic 1587]] --- *Fonte: [MITRE ATT&CK — DET0574](https://attack.mitre.org/detectionstrategies/DET0574)*