# T1557.003 - DHCP Spoofing > [!info] Técnica MITRE ATT&CK > **ID:** T1557.003 | **Tática:** Credential Access | **Plataformas:** Linux, Windows, macOS > **Técnica pai:** [[t1557-adversary-in-the-middle|T1557 - Adversary-in-the-Middle]] ## Descrição DHCP Spoofing é uma sub-técnica de [[t1557-adversary-in-the-middle|Adversary-in-the-Middle (AiTM)]] na qual adversários implantam um servidor DHCP desonesto na rede da vítima para redirecionar o tráfego e interceptar comúnicações sensíveis, incluindo credenciais transmitidas por protocolos não criptografados. O protocolo DHCP (Dynamic Host Configuration Protocol) é fundamental para a operação de redes TCP/IP modernas: ele automaticamente distribui endereços IP, gateways padrão, servidores DNS e outros parâmetros de configuração para clientes na rede. Essa natureza de confiança implícita e a ausência de autenticação nativa no protocolo o tornam um alvo atraente para adversários que desejam posicionar-se entre os hosts legítimos e a infraestrutura de rede. Ao substituir ou competir com o servidor DHCP legítimo, o atacante consegue que clientes da rede recebam configurações maliciosas - como servidores DNS sob controle do adversário, gateway padrão falso ou servidor de proxy comprometido. Uma vez na posição AiTM, o adversário pode realizar [[t1040-network-sniffing|Network Sniffing]] para capturar credenciais em texto claro, certificados e tokens de sessão, além de possibilitar [[t1565-002-transmitted-data-manipulation|Transmitted Data Manipulation]] para modificar dados em trânsito sem que a vítima perceba. A técnica é especialmente eficaz em ambientes corporativos onde servidores DHCP legítimos competem em velocidade de resposta com o servidor malicioso (o cliente DHCP aceita a primeira resposta OFFER recebida), permitindo ao adversário vencer a corrida mesmo sem desativar o servidor oficial. --- ## Como Funciona ### O protocolo DHCP e o vetor de ataque O fluxo padrão DORA (Discover → Offer → Request → Acknowledge) do DHCP não possui mecanismos de autenticação ou verificação de identidade do servidor. Isso cria a jánela de exploração: 1. **DISCOVER** - O cliente envia um broadcast na rede solicitando configuração de rede. 2. **OFFER** - Qualquer servidor DHCP na rede - legítimo ou malicioso - pode responder com uma oferta de configuração. 3. **REQUEST** - O cliente aceita a **primeira** oferta recebida e transmite um REQUEST confirmando o uso. 4. **ACKNOWLEDGE** - O servidor escolhido confirma e entrega os parâmetros de rede ao cliente. O servidor DHCP malicioso explora o passo 2: ao responder mais rapidamente que o servidor legítimo (usando ferramentas como `yersinia`, `ettercap` ou um script Python customizado), ele garante que seus parâmetros de configuração sejam aceitos pelo cliente. ### Parâmetros de configuração maliciosos distribuídos O servidor DHCP desonesto pode injetar nos clientes: - **DNS Server malicioso:** Redireciona consultas DNS para servidores sob controle do atacante, permitindo DNS spoofing, phishing seletivo e interceptação de tráfego HTTPS via SSLstrip em alvos específicos. - **Default Gateway falso:** Todo o tráfego de saída dos clientes passa pelo sistema do adversário, viabilizando inspeção completa do tráfego de rede. - **WINS/NBT-NS malicioso:** Em redes Windows, pode redirecionar resolução de nomes NetBIOS. - **WPAD (Web Proxy Auto-Discovery):** Entrega configuração de proxy falso para interceptar requisições HTTP/HTTPS. ### DHCPv6 e o vetor INFORMATION-REQUEST Clientes DHCPv6 podem solicitar configuração de rede sem endereço IP atribuído usando a mensagem `INFORMATION-REQUEST (código 11)` enviada ao endereço multicast `All_DHCP_Relay_Agents_and_Servers`. Um servidor DHCPv6 malicioso pode responder a essas requisições com servidores DNS IPv6 comprometidos, um vetor frequentemente negligenciado em auditorias de segurança que focam apenas no DHCP IPv4. ### DHCP Exhaustion (DoS complementar) Além do posicionamento AiTM, adversários podem usar DHCP spoofing para realizar ataques de exaustão: enviando múltiplas mensagens DISCOVER com endereços MAC forjados para esgotar o pool de endereços do servidor legítimo (técnica relacionada: [[t1499-002-service-exhaustion-flood|T1499.002 - Service Exhaustion Flood]]). Com o pool esgotado, novos clientes na rede só recebem configuração do servidor malicioso. --- ## Attack Flow ```mermaid graph TB A["🎯 Acesso Inicial à Rede<br/>Wi-Fi corporativo, VPN comprometida<br/>ou host interno infectado"] --> B["📡 Reconhecimento DHCP<br/>Identificar servidor legítimo<br/>Monitorar broadcasts DISCOVER"] B --> C["🖥️ Implantação Servidor DHCP Malicioso<br/>Yersinia / ettercap / script customizado<br/>Resposta mais rápida que servidor legítimo"] C --> D["📋 Distribuição de Config Maliciosa<br/>DNS falso, gateway falso<br/>WPAD ou WINS comprometido"] D --> E{"Vetores de Ataque"} E --> F["🔍 DNS Spoofing<br/>Redirecionar domínios legítimos<br/>para páginas de phishing"] E --> G["📦 Traffic Interception<br/>Captura de credenciais<br/>em protocolos não criptografados"] E --> H["🔓 SSL Stripping<br/>Rebaixar HTTPS para HTTP<br/>nos alvos selecionados"] F --> I["💳 Coleta de Credenciais<br/>Senhas, tokens NTLM<br/>hashes Kerberos"] G --> I H --> I I --> J["🚀 Movimento Lateral<br/>Uso das credenciais obtidas<br/>para acesso a sistemas internos"] ``` --- ## Exemplos de Uso ### Cenário 1 - Rede Corporativa Wi-Fi Em avaliações de Red Team, essa técnica é frequentemente usada em segmentos de rede Wi-Fi corporativa onde a segmentação é inadequada. Um atacante com acesso físico ou já posicionado na rede sem fio executa um servidor DHCP malicioso que responde a clientes que se reconectam após a expiração do lease, obtendo configurações de DNS que redirecionam tráfego bancário e VPN para proxies controlados pelo atacante. ### Cenário 2 - Ambiente Industrial (OT/ICS) Redes industriais frequentemente utilizam DHCP em segmentos de controle onde dispositivos IoT e PLCs recebem endereços dinâmicamente. A injeção de um servidor DHCP malicioso nesses ambientes pode comprometer comúnicações críticas entre sistemas SCADA e sensores de campo, afetando setores de [[energy]] e [[critical-infrastructure|infraestrutura crítica]]. ### Cenário 3 - DHCPv6 em Ambientes Dual-Stack Organizações que habilitaram IPv6 sem implementar proteções equivalentes às do IPv4 estão vulneráveis a ataques via DHCPv6. Ferramentas como `mitm6` automatizam esse vetor: o atacante responde a requisições DHCPv6 com configurações que fazem os clientes Windows priorizarem DNS IPv6 malicioso sobre o DNS IPv4 legítimo, mesmo em redes predominantemente IPv4. ### Ferramentas observadas em ataques reais - **Yersinia** - ferramenta de ataque a protocolos de rede (DHCP, STP, CDP) - **ettercap** - framework AiTM com suporte a DHCP spoofing - **mitm6** - ataque DHCPv6 especializado para ambientes Windows - **Responder** - combinado com DHCP spoofing para captura de hashes NTLM --- ## Detecção ### Indicadores de Comprometimento - Múltiplos servidores DHCP ativos no mesmo segmento de rede (detectável via análise de broadcasts) - Clientes recebendo configurações DHCP de endereços IP inesperados - Aumento anormal no número de mensagens DHCP DISCOVER na rede - Servidores DNS configurados nos clientes que não correspondem aos servidores corporativos aprovados - Tráfego DHCP originado de endereços MAC não cadastrados em tabelas de autorização ### Regra de Detecção (Sigma) ```yaml title: Rogue DHCP Server Response Detected status: experimental description: > Detecta respostas DHCP OFFER ou ACK originadas de endereços MAC não autorizados, indicativo de servidor DHCP desonesto na rede. logsource: category: network product: zeek service: dhcp detection: selection: EventID: dhcp msg_types: - OFFER - ACK filter_legitimate: server_addr|cidr: - "10.0.0.0/8" filter_known_servers: server_addr: - "10.1.1.1" - "10.1.1.2" condition: selection and not filter_known_servers level: high tags: - attack.credential_access - attack.t1557.003 falsepositives: - Novo servidor DHCP legítimo adicionado à rede sem atualização da lista de exclusões - Ambientes de teste com servidores DHCP temporários ``` ### Regra Complementar - DNS Mismatch ```yaml title: Client DNS Configuration Mismatch status: experimental description: > Detecta hosts com servidores DNS configurados que diferem dos servidores corporativos autorizados - pode indicar configuração DHCP maliciosa. logsource: category: network product: windows service: dhcp_server detection: selection: EventID: 1 OptionCode: 6 filter_approved_dns: OptionValue|contains: - "10.1.1.10" - "10.1.1.11" condition: selection and not filter_approved_dns level: high tags: - attack.credential_access - attack.t1557.003 ``` ### Fontes de log recomendadas | Fonte | Dados relevantes | |-------|-----------------| | Logs DHCP do servidor legítimo | Leases concedidos, conflitos detectados | | SIEM com logs de rede (Zeek/Suricata) | Tráfego DHCP anômalo, múltiplos servidores | | Switches gerenciáveis (DHCP Snooping) | Alertas de porta não autorizada respondendo DHCP | | Windows Event Logs (Servidor DHCP) | IDs 1, 1020 - conflitos e anomalias de lease | | NetFlow/IPFIX | Padrões de tráfego UDP/67-68 incomuns | --- ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1037 | [[m1037-filter-network-traffic\|M1037 - Filter Network Traffic]] | Implementar **DHCP Snooping** em switches gerenciáveis para permitir respostas DHCP apenas de portas "trusted" (onde o servidor legítimo está conectado). Bloquear respostas DHCP de portas "untrusted". | | M1031 | [[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]] | Configurar sistemas IPS para detectar e bloquear broadcasts DHCP OFFER provenientes de fontes não autorizadas. Monitorar padrões de DHCP exhaustion (múltiplos DISCOVER com MACs distintos). | ### Medidas adicionais recomendadas - **DHCP Snooping** em switches Cisco/Juniper/HP - medida mais eficaz, bloqueia servidores DHCP não autorizados na camada 2 - **Dynamic ARP Inspection (DAI)** - complementar ao DHCP Snooping, protege contra ARP poisoning subsequente - **IPv6 RA Guard** - prevenir anúncios de roteador e servidores DHCPv6 não autorizados - **Segmentação de rede rigorosa** - VLANs separadas por função, limitando o raio de blast de um servidor DHCP comprometido - **802.1X (Network Access Control)** - autenticação de dispositivos antes de obterem acesso à rede, reduzindo a superfície de ataque - **Monitoramento contínuo de configurações DNS nos endpoints** - alertar quando DNS divergir do padrão corporativo - Rotacionar e monitorar leases DHCP com alertas para múltiplos servidores no mesmo segmento --- ## Contexto Brasil/LATAM O DHCP Spoofing é uma técnica especialmente relevante no contexto brasileiro e latino-americano por vários fatores: **Infraestrutura corporativa heterogênea:** Grande parte das empresas de médio porte no Brasil opera com equipamentos de rede de diferentes gerações e fornecedores, muitos sem suporte a recursos de segurança como DHCP Snooping ou com configurações padrão que não habilitam essas proteções. Isso cria jánelas de exploração que grupos de [[threat-actors|ameaças]] nacionais e internacionais exploram ativamente. **Setor financeiro como alvo prioritário:** O Brasil possui o maior setor de serviços financeiros da América Latina, e ataques de DHCP Spoofing em redes corporativas de bancos, fintechs e processadoras de pagamento podem permitir interceptação de credenciais de acesso a sistemas de compensação, transferências bancárias e dados de clientes. A regulação do Banco Central (BACEN) e da LGPD tornaram obrigatório o reporte de incidentes desse tipo. **Ambientes universitários e de pesquisa:** Redes acadêmicas no Brasil - USP, UNICAMP, UFRJ e outras - frequentemente possuem segmentação menos rigorosa, tornando-as alvos para APTs interessados em propriedade intelectual de pesquisa em setores estratégicos (energia, defesa, biotecnologia). O [[cert-br|CERT.br]] registra incidentes recorrentes de ataques de rede nesse ambiente. **Infraestrutura crítica e utilities:** Empresas de energia elétrica (distribuidoras, geradoras), saneamento e telecomúnicações no Brasil operam redes OT/IT convergidas onde DHCP Spoofing pode comprometer tanto a rede corporativa quanto sistemas de controle industrial. A ANEEL e a ANATEL possuem regulações específicas para segurança de redes nesse contexto. **Grupos de ameaça relevantes na região:** Grupos como [[g1004-lapsus|LAPSUS$]], com histórico de operações no Brasil e outros países da América Latina, demonstraram capacidade de explorar vulnerabilidades de infraestrutura de rede. Além disso, grupos de crime organizado cibernético brasileiros (como os por trás do [[s0531-grandoreiro|Grandoreiro]] e do [[s0528-javali|Javali]]) utilizam técnicas de AiTM para interceptar credenciais bancárias de funcionários de empresas financeiras. --- ## Referências - [MITRE ATT&CK - T1557.003 DHCP Spoofing](https://attack.mitre.org/techniques/T1557/003) - [RFC 2131 - Dynamic Host Configuration Protocol](https://tools.ietf.org/html/rfc2131) - [RFC 8415 - DHCPv6](https://tools.ietf.org/html/rfc8415) - [CERT.br - Recomendações de Segurança para Redes](https://www.cert.br/docs/whitepapers/) - [Cisco - DHCP Snooping Configuration Guide](https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/17-3/configuration_guide/sec/b_173_sec_9300_cg/configuring_dhcp_features.html) - [[m1037-filter-network-traffic|M1037 - Filter Network Traffic]] - [[m1031-network-intrusion-prevention|M1031 - Network Intrusion Prevention]] - [[t1040-network-sniffing|T1040 - Network Sniffing]] - [[t1557-adversary-in-the-middle|T1557 - Adversary-in-the-Middle]] - [[t1565-002-transmitted-data-manipulation|T1565.002 - Transmitted Data Manipulation]] --- *Fonte: [MITRE ATT&CK - T1557.003](https://attack.mitre.org/techniques/T1557/003)*