# DET0819 — Detection of Network Topology ## Descrição O mapeamento da topologia de rede de uma organização-alvo é uma etapa crítica do reconhecimento que fornece ao adversário informações sobre segmentação de rede, roteamento interno, dispositivos de segurança perimetral e pontos de interconexão com redes externas. Essa inteligência permite planejar movimentação lateral eficiente após o acesso inicial, identificar caminhos de saída para exfiltração e localizar ativos de alto valor como domain controllers e servidores de banco de dados. Grupos como [[g0016-apt29]], [[g1017-volt-typhoon]] e [[g0034-sandworm]] documentadamente realizam esse mapeamento como precursor de operações de longa duração. O mapeamento de topologia pode ser realizado de forma passiva (análise de rotas BGP, traceroutes, registros públicos) ou ativa (varredura de rede, análise de respostas TTL, técnicas de ICMP fingerprinting). Uma vez dentro da rede comprometida, ferramentas como `nmap`, `nbtscan`, `BloodHound` e `ADExplorer` são usadas para mapear a topologia interna. No contexto de reconhecimento externo, serviços de BGP looking glass e ferramentas como `bgpview.io` revelam a estrutura de roteamento de organizações com ASN próprio. A detecção combina monitoramento de traceroutes externos para infraestrutura da organização, análise de padrões de tráfego ICMP incomuns que sugerem mapeamento de rotas, e correlação de descobertas de rede internas após um comprometimento inicial. Ferramentas de NDR (Network Detection and Response) com análise de comportamento de rede identificam padrões de varredura de topologia interna que diferem do tráfego operacional normal, conforme mapeado em [[t1590-gather-victim-network-information|T1590-gather-victim-network-information]] e [[t1016-system-network-configuration-discovery|T1016-system-network-configuration-discovery]]. ## Indicadores de Detecção - Traceroutes externos sistemáticos para múltiplos IPs da organização de um mesmo IP de origem - Pacotes ICMP Time Exceeded em volume anormal sugerindo mapeamento de roteamento - Consultas a servidores BGP looking glass para prefixos IP pertencentes à organização - Enumeração de vizinhos de roteamento via SNMP ou CDP/LLDP por hosts não autorizados - Acesso não autorizado a diagramas de rede ou documentação de arquitetura em compartilhamentos internos - Execução de comandos de descoberta de rede (`route print`, `netstat`, `arp -a`) por processos suspeitos - Tráfego de ferramentas de mapeamento de topologia como BloodHound ou SharpHound detectado no SIEM ## Técnicas Relacionadas - [[t1590-gather-victim-network-information|T1590-gather-victim-network-information]] — coleta de informações de topologia de rede - [[t1016-system-network-configuration-discovery|T1016-system-network-configuration-discovery]] — descoberta de configuração de rede interna - [[t1018-remote-system-discovery|T1018-remote-system-discovery]] — descoberta de sistemas remotos na rede - [[t1482-domain-trust-discovery|T1482-domain-trust-discovery]] — mapeamento de relações de confiança entre domínios - [[t1046-network-service-discovery]] — escaneamento de serviços para mapeamento de topologia ## Analytics Relacionadas - [[an1951-analytic-1951|AN1951 — Analytic 1951]] --- *Fonte: [MITRE ATT&CK — DET0819](https://attack.mitre.org/detectionstrategies/DET0819)*