# T1602.001 - SNMP (MIB Dump) ## Técnica Pai Esta é uma sub-técnica de [[t1602-data-from-configuration-repository|T1602 - T1602 - Data from Configuration Repository]]. ## Descrição Adversários realizam consultas SNMP (Simple Network Management Protocol) contra dispositivos de rede gerenciados para extrair o conteúdo da MIB (Management Information Base) - um repositório estruturado de informações de configuração e estado operacional de roteadores, switches, firewalls e outros equipamentos de infraestrutura. A MIB contém dados de altíssimo valor para o reconhecimento de rede: tabelas de roteamento, interfaces de rede com seus IPs, configurações de VLANs, informações de hardware, versões de firmware, comunidades SNMP configuradas e até fragmentos de configuração ativa. Com essas informações, o adversário pode construir um mapa detalhado da rede-alvo e identificar caminhos de movimento lateral e alvos de alta prioridade. No contexto brasileiro, esse vetor é crítico porque grande parte da infraestrutura de telecomúnicações, provedores de internet (ISPs) e redes corporativas ainda opera com SNMPv1 ou SNMPv2c - versões sem criptografia e com autenticação baseada em strings de comunidade frequentemente fracas ou padrão (`public`, `private`). O [[_sectors|setor de telecomúnicações e provedores regionais de internet]] no Brasil são alvos especialmente relevantes, dado o uso extensivo de SNMP para gerência de rede em CPEs, roteadores ADSL e equipamentos de backbone. Esta é uma subtécnica de [[t1602-data-from-configuration-repository|T1602 - Data from Configuration Repository]], ao lado de [[t1602-002-network-device-configuration-dump|T1602.002 - Network Device Configuration Dump]]. > [!warning] Relevância Brasil/LATAM > ISPs regionais brasileiros e operadoras de telecomúnicações frequentemente expõem SNMP em interfaces WAN com comunidades padrão. Ataques de ricognição usando MIB dumps são vetores comuns de pré-comprometimento de infraestrutura crítica nacional. ## Attack Flow ```mermaid graph TB A([Reconhecimento<br/>Descoberta de IPs]) --> B([Varredura SNMP<br/>UDP 161]) B --> C{T1602.001\nSNMP\nMIB Dump}:::highlight C --> D([Mapeamento<br/>de Rede]) D --> E([Movimento Lateral<br/>Exploração Direcionada]) E --> F([Impacto - Comprometimento<br/>de Infraestrutura]) classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b,stroke-width:2px ``` ## Como Funciona **Passo 1 - Descoberta e Enumeração de Alvos** O adversário realiza varredura na faixa de IPs-alvo na porta UDP 161, identificando dispositivos que respondem a requisições SNMP. Ferramentas como `nmap` (com scripts NSE SNMP), `snmpwalk`, `onesixtyone` ou `metasploit` (módulo `auxiliary/scanner/snmp/snmp_enum`) são usadas para testar strings de comunidade comuns - `public`, `private`, `community`, `cisco`, `admin` - e coletar o OID raiz (`.1`) da MIB. **Passo 2 - Extração da MIB (Walk)** Com uma string de comunidade válida, o adversário executa um SNMP walk completo - iterando recursivamente por todos os OIDs disponíveis. Isso retorna: interfaces de rede e IPs associados (OID `1.3.6.1.2.1.4.20`), tabela de roteamento (OID `1.3.6.1.2.1.4.21`), processos em execução, usuários locais, descrição do sistema e versão do firmware. Em dispositivos Cisco, Juniper ou Huawei, pode-se obter fragmentos da configuração running. **Passo 3 - Construção do Mapa de Rede e Exploração** Os dados coletados da MIB são processados para construir um grafo da topologia de rede - identificando gateways, zonas de segmentação e dispositivos de alta prioridade. Esse mapa orienta ataques subsequentes: exploração de vulnerabilidades específicas do firmware identificado, ataques de [[t1040-network-sniffing|Network Sniffing]] em segmentos descobertos, ou acesso direto a dispositivos com credenciais padrão detectadas via SNMP. ## Detecção ### Event IDs e Fontes de Log Relevantes | Plataforma | Fonte de Log | Indicador de Abuso | |-----------|-------------|-------------------| | Roteadores/Switches | Syslog local - SNMP trap | Volume anômalo de requisições `GetNext` / `GetBulk` de IP externo | | IDS/IPS | Suricata / Snort | Assinatura para SNMP community string brute-force (regra ET SCAN) | | NetFlow / sFlow | Coleta de fluxo UDP 161 | Alto volume de fluxos UDP curtos de um mesmo source IP para múltiplos hosts | | Firewall | Logs de acesso | Requisições SNMP originadas fora de IPs de gerência autorizados | | SIEM | Correlação de eventos | Mais de 50 tentativas SNMP em 60 segundos de uma única origem | ### Sigma Rule ```yaml title: SNMP MIB Enumeration from Unauthorized Source id: c4e5f6a7-2b3c-4d1e-8f9a-5b6c7d8e1f2a status: experimental description: > Detecta varredura SNMP em volume ou originada de IPs fora da faixa autorizada de gerência - indicativo de T1602.001 SNMP MIB Dump. logsource: category: network product: zeek service: conn detection: selection: proto: udp id.resp_p: 161 filter_authorized: id.orig_h|cidr: - '10.0.0.0/8' - '172.16.0.0/12' - '192.168.1.0/24' timeframe: 60s condition: selection and not filter_authorized | count() by id.orig_h > 30 falsepositives: - Sistema de monitoramento NMS legítimo com IP não listado - Scan de inventário de TI agendado level: high tags: - attack.collection - attack.t1602.001 ``` > [!tip] Ajuste de Regra > Substitua os CIDRs do campo `filter_authorized` pelas faixas reais de IPs do seu NMS (Zabbix, PRTG, SolarWinds, Grafana) para eliminar falsos positivos. Em redes brasileiras que usam endereçamento RFC1918 variado, essa personalização é obrigatória. ## Mitigação | Controle | Mitigação MITRE | Ação Recomendada para Org. Brasileiras | |---------|----------------|----------------------------------------| | Configuração segura | [[m1054-software-configuration\|M1054]] | Desabilitar SNMPv1 e SNMPv2c; migrar para SNMPv3 com autenticação SHA e privacidade AES-128; remover strings de comunidade padrão | | Atualização de firmware | [[m1051-update-software\|M1051]] | Manter firmware de roteadores, switches e CPEs atualizado - versões antigas frequentemente têm strings de comunidade hard-coded | | Criptografia | [[m1041-encrypt-sensitive-information\|M1041]] | Usar SNMPv3 com `authPriv` (autenticação + criptografia) para todo gerenciamento de rede | | IPS de rede | [[m1031-network-intrusion-prevention\|M1031]] | Habilitar assinaturas anti-scan SNMP em IDS/IPS; bloquear automaticamente IPs que realizam brute-force de comunidade | | Segmentação de rede | [[m1030-network-segmentation\|M1030]] | Isolar dispositivos de rede em VLANs de gerência dedicadas; bloquear UDP 161/162 em interfaces não-gerência | | Filtro de tráfego | [[m1037-filter-network-traffic\|M1037]] | ACLs restritivas no dispositivo para aceitar SNMP apenas de IPs de NMS autorizados; bloquear porta 161 UDP em todos os firewalls de borda | ## Threat Actors e Software ### Grupos com Uso Documentado Embora o MITRE ATT&CK não liste atores específicos para T1602.001, o vetor é amplamente utilizado por: - Grupos de espionagem com foco em infraestrutura de telecomúnicações e ISPs - como os associados a operações chinesas e russas que visam provedores de acesso como parte de campanhas de comprometimento de cadeia de suprimentos de rede - Atores de ransomware durante a fase de reconhecimento pré-ataque, mapeando a topologia de rede antes de se mover lateralmente para sistemas críticos - Grupos com histórico de ataques a infraestrutura crítica da América Latina, incluindo operadoras de energia e telecomúnicações no Brasil, que documentaram incidentes de SNMP sweeping em análises forenses pós-compromisso Para contexto de atores que comprometem dispositivos de rede como pré-requisito, ver também [[t1595-active-scanning|T1595 - Active Scanning]] e [[t1046-network-service-discovery|T1046 - Network Service Discovery]]. ### Ferramentas Comumente Usadas - `snmpwalk` / `snmpget` - ferramentas nativas UNIX/Linux para consulta SNMP; frequentemente usadas diretamente por atacantes - `onesixtyone` - scanner SNMP rápido para brute-force de community strings em faixas de IP grandes - Módulo `auxiliary/scanner/snmp/snmp_enum` do Metasploit - automatiza enumeração completa de MIB com geração de relatório estruturado - `snmp-check` - ferramenta de pentest que formata output de MIB dump de forma legível para análise --- *Fonte: [MITRE ATT&CK - T1602.001](https://attack.mitre.org/techniques/T1602/001)*