# T1040 - Network Sniffing ## Descrição Network sniffing (captura passiva de tráfego de rede) é uma técnica utilizada por adversários para interceptar dados em trânsito em redes locais, ambientes de nuvem e dispositivos de infraestrutura. Ao colocar uma interface de rede em modo promíscuo ou explorar recursos de espelhamento de tráfego, o atacante pode capturar pacotes contendo credenciais, hashes de autenticação, tokens de sessão e informações de configuração de rede - sem necessáriamente interagir com sistemas alvo de forma ativa. A técnica pertence à tática de [[ta0006-credential-access|Credential Access]] e também contribui para [[ta0007-discovery|Discovery]], pois revela topologia de rede, serviços em execução, versões de protocolos e relacionamentos entre sistemas. É frequentemente combinada com [[t1557-adversary-in-the-middle|Adversary-in-the-Middle]] (AiTM) para captura ativa de credenciais mediante envenenamento de resolução de nomes ([[NBT-NS Poisoning]]). Grupos de ameaça de alto nível como [[g0034-sandworm|Sandworm Team]], [[g1045-salt-typhoon|Salt Typhoon]], [[g0007-apt28|APT28]] e [[g1048-unc3886|UNC3886]] utilizam network sniffing como componente central de operações de espionagem de longa duração. A técnica é especialmente valiosa em ambientes onde protocolos legados não criptografados ainda estão presentes - situação comum em infraestruturas industriais (OT/SCADA), redes governamentais de países em desenvolvimento e ambientes hospitalares. Em ambientes de nuvem (IaaS), serviços de espelhamento de tráfego como AWS Traffic Mirroring, GCP Packet Mirroring e Azure vTAP permitem que adversários com acesso privilegiado repliquem tráfego de instâncias virtuais para sistemas controlados externamente, capturando dados que passam em cleartext após terminação TLS no load balancer. ## Como Funciona ### 1. Modo Promíscuo em Redes Locais Em redes baseadas em hubs (legadas) ou em segmentos onde o atacante pode realizar ARP spoofing para se posicionar como man-in-the-middle, a interface de rede é configurada em modo promíscuo (`ifconfig eth0 promisc` no Linux). Nesse modo, a placa de rede processa todos os frames que chegam ao cabo/switch, não apenas os endereçados ao seu MAC. Ferramentas como [[s0357-impacket|Impacket]] (`secretsdump.py`), [[s0174-responder|Responder]] e [[s0363-empire|Empire]] automatizam a captura e extração de credenciais. ### 2. SPAN Ports e Network TAPs Em ambientes corporativos com switches gerenciados, o adversário com acesso à infraestrutura de rede pode configurar SPAN ports (Switch Port Analyzer) que espelham todo o tráfego de uma VLAN ou porta específica para uma porta monitorada. Network TAPs físicos podem ser instalados inline em links críticos para captura passiva sem impacto na performance. O grupo [[g0105-darkvishnya|DarkVishnya]] é notório por plantar dispositivos físicos (Raspberry Pi, mini-PCs) em redes bancárias para captura persistente de tráfego. ### 3. Captura em Dispositivos de Rede (Network Device CLI) Em roteadores e switches Cisco, Juniper e similares, o adversário com acesso ao CLI pode executar comandos nativos de captura de pacotes: - Cisco IOS: `monitor capture <name> interface <int> both` - Cisco NX-OS: `ethanalyzer local interface inband` Grupos como [[g1045-salt-typhoon|Salt Typhoon]] e [[g1047-velvet-ant|Velvet Ant]] documentaram o uso extensivo de CLI de dispositivos de rede para captura de tráfego em equipamentos de telecomúnicações e infraestrutura crítica, relacionado à técnica [[t1059-008-network-device-cli|Network Device CLI]]. ### 4. Captura em Ambientes Cloud (Traffic Mirroring) Em ambientes IaaS, o adversário com permissões suficientes (administrador de VPC/VNet) pode: - **AWS**: criar Traffic Mirror Sessions que replicam tráfego de ENIs (Elastic Network Interfaces) para uma instância controlada - **GCP**: habilitar Packet Mirroring em sub-redes para análise externa - **Azure**: usar vTAP para replicar tráfego de VMs O tráfego capturado nesse cenário frequentemente inclui dados em cleartext resultantes da terminação TLS nos load balancers (ALB/NLB no AWS, Application Gateway no Azure), expondo conteúdo HTTP/API sem criptografia. ### 5. Malware com Capacidade de Sniffing Malwares especializados como [[s0443-messagetap|MESSAGETAP]] (atribuído ao APT41, operando em sistemas de telecomúnicações), [[s1206-jumbledpath|JumbledPath]] (ligado a UNC3886) e [[s1224-castletap|CASTLETAP]] implementam bibliotecas de captura de pacotes diretamente no payload, permitindo sniffing persistente e seletivo (por palavras-chave, portas ou endereços IP) sem interação manual do operador. O [[s0367-emotet|Emotet]] também incorporou módulos de captura de credenciais de rede em algumas variantes. ## Attack Flow ```mermaid graph TB A["Acesso Inicial<br/>Comprometimento de endpoint,<br/>dispositivo de rede ou conta cloud"] --> B["Reconhecimento de Ambiente<br/>Identifica topologia, VLANs,<br/>protocolos não criptografados"] B --> C1["Vetor: Modo Promíscuo<br/>Interface em promisc mode<br/>Responder / Impacket"] B --> C2["Vetor: SPAN Port / TAP<br/>Configuração de espelhamento<br/>no switch/roteador"] B --> C3["Vetor: Network Device CLI<br/>monitor capture no IOS/NX-OS<br/>Salt Typhoon / Velvet Ant"] B --> C4["Vetor: Cloud Traffic Mirror<br/>AWS Traffic Mirror / GCP Packet Mirror<br/>Azure vTAP"] C1 --> D["Captura de Pacotes<br/>Credenciais, hashes NTLM,<br/>tokens de sessão, dados em cleartext"] C2 --> D C3 --> D C4 --> D D --> E1["Extração de Credenciais<br/>Análise offline com Wireshark,<br/>tcpdump, secretsdump"] D --> E2["Reconhecimento de Rede<br/>IPs, hostnames, VLAN IDs,<br/>versões de serviços"] E1 --> F["Movimentação Lateral<br/>Ta0008 Lateral Movement<br/>com credenciais capturadas"] E2 --> F F --> G["Objetivos do Adversário<br/>Espionagem / Exfiltração de dados<br/>Persistência prolongada"] ``` ## Exemplos de Uso ### Salt Typhoon - Comprometimento de Telecomúnicações O grupo chinês [[g1045-salt-typhoon|Salt Typhoon]] (UNC2286) tornou-se um dos casos mais proeminentes de network sniffing em infraestrutura crítica, com comprometimento documentado de grandes operadoras de telecomúnicações americanas (AT&T, Verizon, T-Mobile) em 2024. O grupo instalou implantes persistentes em equipamentos de rede para captura de metadados e conteúdo de comúnicações, incluindo intercepções legais (CALEA). A técnica permitiu acesso a comúnicações de alvos de alto valor governamentais por período prolongado. ### Sandworm Team - Operações na Ucrânia e Infraestrutura Energética O grupo russo [[g0034-sandworm|Sandworm Team]] utilizou network sniffing como parte de operações de reconhecimento prévio a ataques destrutivos contra infraestrutura elétrica ucraniana. A captura de credenciais de sistemas SCADA/OT facilitou a escalada de privilégios necessária para executar os ataques ao grid elétrico de 2015 e 2016. O grupo também utilizou [[s0661-foggyweb|FoggyWeb]] para captura de tokens em servidores ADFS comprometidos. ### DarkVishnya - Implantes Físicos em Bancos O grupo [[g0105-darkvishnya|DarkVishnya]] ficou conhecido por enviar dispositivos físicos (laptops compactos e Raspberry Pi) por correio para escritórios de instituições financeiras europeias. Uma vez conectados a pontos de rede internos, esses dispositivos realizavam sniffing passivo da rede interna e permitiam acesso remoto ao atacante, resultando em perdas financeiras estimadas em dezenas de milhões de euros. ### APT33 - Espionagem em Setor de Energia O grupo iraniano [[g0064-apt33|APT33]] utilizou network sniffing em combinação com ataques de [[t1110-brute-force|força bruta]] e [[NBT-NS Poisoning]] em campanhas contra empresas petroquímicas e de aviação no Oriente Médio e EUA. A captura de hashes NTLMv2 permitiu ataques de pass-the-hash e escalada de privilégios na rede corporativa. ## Detecção ### Regra Sigma - Interface de Rede em Modo Promíscuo (Linux) ```yaml title: Interface de Rede Colocada em Modo Promíscuo status: experimental description: > Detecta quando uma interface de rede é configurada em modo promíscuo, indicando possível início de sniffing de tráfego por adversário com acesso ao sistema. logsource: product: linux service: syslog detection: selection: message|contains: - "entered promiscuous mode" - "device eth0 entered promiscuous" - "PROMISC" condition: selection fields: - Hostname - message - timestamp falsepositives: - Ferramentas de monitoramento de rede legítimas (Nagios, Zabbix) - Soluções de IDS/IPS que operam em modo passivo - Análises de rede autorizadas pela equipe de segurança level: high tags: - attack.credential_access - attack.discovery - attack.t1040 ``` ### Regra Sigma - Execução de Ferramentas de Captura de Rede ```yaml title: Execução de Ferramenta de Captura de Pacotes por Processo Não Autorizado status: experimental description: > Detecta execução de ferramentas de captura de pacotes (tcpdump, tshark, Wireshark CLI, dumpcap) fora de contextos autorizados de administração. logsource: category: process_creation product: linux detection: selection: Image|endswith: - "/tcpdump" - "/tshark" - "/dumpcap" - "/windump" filter_authorized: ParentImage|contains: - "/nagios" - "/zabbix" - "/suricata" condition: selection and not filter_authorized fields: - User - Image - CommandLine - ParentImage - Hostname falsepositives: - Administradores de rede realizando troubleshooting autorizado - Sistemas de monitoramento de performance de rede level: medium tags: - attack.credential_access - attack.t1040 ``` ### Indicadores de Comprometimento | Indicador | Tipo | Plataforma | |-----------|------|------------| | Interface em modo promíscuo sem justificativa | Comportamental | Linux/Windows | | Processo `tcpdump`/`tshark` rodando por processo filho incomum | Processo | Linux | | Traffic Mirror Session criada por usuário não-administrador | Cloud | AWS | | Comandos `monitor capture` em roteador fora de jánela de manutenção | Rede | Cisco IOS | | Volume anormal de dados capturados por instância cloud | Anomalia | IaaS | ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1041 | [[m1041-encrypt-sensitive-information\|M1041 - Encrypt Sensitive Information]] | Criptografar todo o tráfego sensível em trânsito (TLS 1.2+, IPSec, SSH). Protocolos legados como Telnet, FTP, HTTP, SNMP v1/v2 devem ser desativados. Mesmo em redes internas, sniffing de tráfego criptografado não expõe credenciais em cleartext | | M1030 | [[m1030-network-segmentation\|M1030 - Network Segmentation]]| Segmentar redes por função e sensibilidade (VLANs isoladas para OT/SCADA, ambientes de pagamento, sistemas de autenticação). Dificulta o alcance do sniffing mesmo com acesso inicial obtido | | M1032 | [[m1032-multi-factor-authentication\|M1032 - Multi-factor Authentication]] | MFA reduz o impacto de credenciais capturadas em cleartext, exigindo segundo fator para autenticação mesmo que senha sejá interceptada | | M1018 | [[m1018-user-account-management\|M1018 - User Account Management]] | Restringir permissões de criação de SPAN ports, Traffic Mirror Sessions e execução de ferramentas de captura a roles específicas com auditoria obrigatória | ### Controles Adicionais Recomendados - **Desativar protocolos não criptografados**: Eliminar Telnet, FTP, HTTP, SNMP v1/v2, NTLMv1 em favor de SSH, SFTP, HTTPS, SNMPv3, Kerberos. - **Monitorar configurações de SPAN ports**: Alertar imediatamente para criação ou modificação de SPAN ports fora de jánelas de manutenção aprovadas. - **Dynamic ARP Inspection (DAI)**: Habilitar DAI em switches para prevenir ARP spoofing que precede sniffing em modo AiTM. - **802.1X Port Authentication**: Implementar autenticação de porta para impedir conexão de dispositivos não autorizados à rede (contramedida ao vetor DarkVishnya). ## Contexto Brasil/LATAM ### Ameaças ao Setor Financeiro Brasileiro O Brasil, como um dos maiores alvos globais de cibercrime financeiro, apresenta exposição significativa à técnica de network sniffing, especialmente em redes de correspondentes bancários, ambientes de ATM e infraestrutura de processamento de pagamentos. Grupos de cibercrime financeiro brasileiros e sul-americanos historicamente exploram redes corporativas de bancos regionais e cooperativas de crédito onde a segmentação de rede e a criptografia de protocolos internos são deficientes. **Fraude em Redes de ATM**: Operações documentadas pelo [[cert-br|CERT.br]] e pela [[policia-federal|Polícia Federal Brasileira]] identificaram grupos que instalavam implantes físicos em redes de processamento de ATMs para capturar dados de cartão e PINs em trânsito - padrão operacional próximo ao documentado no grupo DarkVishnya, adaptado ao contexto regional. **Telecomúnicações e Vigilância**: O comprometimento de telecomúnicações documentado em grupos como [[g1045-salt-typhoon|Salt Typhoon]] tem relevância para o Brasil, dado o papel central de operadoras como Vivo, Claro e TIM na infraestrutura de comúnicações governamentais e corporativas. A [[anatel|Anatel]] e o [[PR]] (Gabinete de Segurança Institucional) mantêm monitoramento de ameaças a essa infraestrutura. **Redes Industriais e OT**: O setor de energia e petróleo no Brasil (Petrobras, distribuidoras de energia elétrica) apresenta ambientes OT/SCADA com protocolos legados não criptografados (Modbus, DNP3) que são particularmente vulneráveis à captura passiva de tráfego. Incidentes em distribuidoras de energia elétrica brasileiras reportados ao [[cert-br|CERT.br]] incluem casos com vetores compatíveis com sniffing de rede industrial. **Grupos de Espionagem com Interesse no Brasil**: Além de atores locais, grupos de espionagem como [[g0064-apt33|APT33]] (Irã) demonstraram interesse em empresas do setor energético e petroquímico brasileiro. [[g0007-apt28|APT28]] e [[g0094-kimsuky|Kimsuky]] também registram atividade contra alvos governamentais e acadêmicos na região. ## Referências - [MITRE ATT&CK - T1040: Network Sniffing](https://attack.mitre.org/techniques/T1040) - [CISA Advisory - Salt Typhoon Telecom Compromise (AA24-038A)](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a) - [Mandiant - UNC3886 VMware ESXi Exploitation](https://www.mandiant.com/resources/blog/unc3886-vmware-esxi-zero-day) - [Kaspersky - DarkVishnya: Banking sector targeted with physical implants](https://securelist.com/darkvishnya/89169/) - [CERT.br - Segurança em Redes Corporativas](https://www.cert.br/docs/whitepapers/) - [[t1557-adversary-in-the-middle|T1557 - Adversary-in-the-Middle]] - [[NBT-NS Poisoning and SMB Relay]] - [[ta0008-lateral-movement|TA0008 - Lateral Movement]] - [[ta0007-discovery|TA0007 - Discovery]] --- *Fonte: [MITRE ATT&CK - T1040](https://attack.mitre.org/techniques/T1040)*