# T1557 - Adversary-in-the-Middle > [!info] Técnica MITRE ATT&CK > **Tática:** Credential Access · **ID:** T1557 · **Plataformas:** Windows, Linux, macOS, Network Devices ## Descrição A técnica **Adversary-in-the-Middle (AiTM)** descreve a capacidade de adversários se posicionarem entre dois ou mais dispositivos em uma rede para interceptar, monitorar e potencialmente manipular o tráfego de comunicação. Ao abusar de protocolos de rede amplamente utilizados - como ARP, DNS, LLMNR e DHCP - os atacantes conseguem desviar o fluxo de tráfego legítimo para um sistema sob seu controle. O objetivo principal dessa técnica é viabilizar comportamentos subsequentes na cadeia de ataque: captura de credenciais via [[t1040-network-sniffing|Network Sniffing]], manipulação de dados em trânsito via [[t1565-002-transmitted-data-manipulation|Transmitted Data Manipulation]], ou ataques de replay que permitem reutilizar sessões autenticadas sem conhecer a senha. Adversários também exploram a posição AiTM para roubar tokens de acesso ([[t1528-steal-application-access-token|Steal Application Access Token]]) e cookies de sessão web ([[t1539-steal-web-session-cookie|Steal Web Session Cookie]]). Uma variante relevante envolve **Downgrade Attacks** ([[t1562-010-downgrade-attack|Downgrade Attack]]), nos quais o atacante força a negociação de versões mais fracas de protocolos de criptografia (ex.: SSLv3, TLS 1.0) ou algoritmos inseguros (ex.: MD5, RC4), tornando o tráfego suscetível a decifração offline. Isso é especialmente eficaz contra implementações legadas ainda presentes em ambientes corporativos e industriais. Grupos como [[g1041-sea-turtle|Sea Turtle]] são conhecidos por conduzir campanhas de envenenamento de DNS em escala nacional, redirecionando usuários de sites governamentais e infraestruturas críticas para servidores controlados pelo adversário. Já o [[g0094-kimsuky|Kimsuky]] utiliza técnicas AiTM em conjunto com phishing sofisticado para capturar credenciais de pesquisadores e diplomatas sul-coreanos. O [[g0129-mustang-panda|Mustang Panda]] emprega variantes de ARP poisoning em redes corporativas para coletar credenciais de domínio em ambientes Windows. ## Como Funciona O ataque AiTM explora a confiança implícita dos protocolos de rede em anunciar e aceitar informações de roteamento sem autenticação adequada. Os mecanismos mais comuns são: **1. ARP Cache Poisoning ([[t1557-002-arp-cache-poisoning|T1557.002]]):** O protocolo ARP não possui mecanismo de autenticação. O atacante envia respostas ARP gratuitas (unsolicited) mapeando o endereço IP da vítima para o MAC address do atacante. Assim, todo o tráfego destinado à vítima passa pelo host do adversário antes de ser (ou não) reencaminhado. **2. LLMNR/NBT-NS Poisoning e SMB Relay ([[t1557-001-llmnrnbt-ns-poisoning-and-smb-relay|T1557.001]]):** Quando um host Windows não consegue resolver um nome via DNS, recorre ao LLMNR (Link-Local Multicast Name Resolution) e NBT-NS, que são broadcasts na rede local sem autenticação. O atacante responde a esses broadcasts se passando pelo host legítimo e captura hashes Net-NTLMv2 para cracking offline ou relay attacks. **3. DHCP Spoofing ([[t1557-003-dhcp-spoofing|T1557.003]]):** O atacante opera um servidor DHCP rogue que distribui configurações de rede com gateway padrão e servidor DNS apontando para infraestrutura maliciosa. Qualquer novo cliente que obtenha endereçamento desse servidor terá seu tráfego roteado pelo adversário. **4. Evil Twin ([[t1557-004-evil-twin|T1557.004]]):** Um ponto de acesso WiFi falso com o mesmo SSID de uma rede legítima é criado com sinal mais forte. Dispositivos se conectam automaticamente ao AP do atacante, que opera como proxy transparente capturando credenciais e sessões. **Ferramentas comuns:** Responder (LLMNR/NBT-NS), Ettercap, Bettercap, mitmproxy, ARP-MITM, Evilginx2 (para phishing AiTM com bypass de MFA). ## Attack Flow ```mermaid graph TB A["Reconhecimento de rede<br/>(ARP scan, Nmap)"] --> B["Escolha do vetor AiTM<br/>(ARP / LLMNR / DHCP / WiFi)"] B --> C1["ARP Cache Poisoning<br/>T1557.002"] B --> C2["LLMNR/NBT-NS Spoofing<br/>T1557.001"] B --> C3["DHCP Rogue Server<br/>T1557.003"] B --> C4["Evil Twin AP<br/>T1557.004"] C1 --> D["Posição AiTM estabelecida<br/>(tráfego desviado pelo atacante)"] C2 --> D C3 --> D C4 --> D D --> E1["Captura de credenciais<br/>Net-NTLMv2 / Kerberos"] D --> E2["Roubo de cookies e tokens<br/>T1539 / T1528"] D --> E3["Manipulação de dados<br/>T1565.002"] D --> E4["Downgrade de protocolo<br/>T1562.010"] E1 --> F["Movimentação lateral<br/>Pass-the-Hash / SMB Relay"] E2 --> F E3 --> G["Impacto / Persistência<br/>(exfiltração, acesso persistente)"] E4 --> F F --> G ``` ## Exemplos de Uso ### Sea Turtle - Envenenamento de DNS em infraestrutura nacional O grupo [[g1041-sea-turtle|Sea Turtle]] (Teal Kurma) conduziu uma das campanhas de DNS hijacking mais abrangentes documentadas, comprometendo registradores de DNS e ISPs para redirecionar o tráfego de organizações governamentais do Oriente Médio e América Latina. A técnica permitiu interceptar credenciais VPN e webmail sem que as vítimas percebessem alteração no comportamento aparente dos serviços. ### Kimsuky - LLMNR Poisoning em campanhas de espionagem O [[g0094-kimsuky|Kimsuky]] utilizou ferramentas como Responder em redes internas comprometidas para capturar hashes NTLMv2 de usuários de organizações de pesquisa e think-tanks. Os hashes capturados foram usados em ataques de relay contra outros serviços na rede, ampliando o acesso lateral sem necessidade de quebrar as senhas. ### Campanha de Phishing AiTM com bypass de MFA Em 2023 e 2024, múltiplos grupos de crime cibernético (incluindo afiliados do ecossistema [[g1015-scattered-spider|Scattered Spider]]) adotaram frameworks como Evilginx2 para operar proxies reversos transparentes. O usuário acessa um site de phishing que intermedia em tempo real a comunicação com o serviço legítimo (Microsoft 365, Okta), capturando cookies de sessão pós-autenticação MFA - tornando o segundo fator ineficaz. ### Contexto corporativo - Ambientes com LLMNR ativo Ambientes Windows com LLMNR e NBT-NS habilitados (configuração padrão em versões anteriores ao Windows 11) são altamente vulneráveis. Qualquer atacante com acesso à rede local - sejá por comprometimento de um endpoint, acesso físico ou rede WiFi - pode usar o Responder para capturar credenciais passivamente sem gerar alertas visíveis. ## Detecção ### Detecção de LLMNR/NBT-NS Spoofing (Sigma) ```yaml title: LLMNR and NBT-NS Poisoning via Responder status: experimental logsource: category: network_traffic product: zeek detection: selection_llmnr: network.protocol: llmnr destination.ip|startswith: '224.0.0.' selection_nbns: network.protocol: nbns nbns.type: NB filter_legitimate: source.ip|cidr: '10.0.0.0/8' condition: (selection_llmnr or selection_nbns) and not filter_legitimate level: medium tags: - attack.credential_access - attack.t1557.001 ``` ### Detecção de ARP Spoofing (Sigma) ```yaml title: Suspicious ARP Traffic - Possible ARP Cache Poisoning status: experimental logsource: category: network_traffic product: zeek detection: selection: network.protocol: arp arp.opcode: reply condition_duplicate_ip: arp.src.ip: '*' arp.dst.ip: '*' condition: selection timeframe: 60s filter_threshold: count: '>10' level: high tags: - attack.credential_access - attack.t1557.002 ``` ### Detecção de DHCP Rogue Server ```yaml title: Rogue DHCP Server Detected on Network status: experimental logsource: category: network_traffic product: zeek detection: selection: network.protocol: dhcp dhcp.msg_type: OFFER filter_authorized: source.ip: - '10.0.0.1' - '192.168.1.1' - '172.16.0.1' condition: selection and not filter_authorized level: high tags: - attack.credential_access - attack.t1557.003 ``` **Fontes de dados recomendadas para detecção:** - Logs de tráfego de rede (Zeek/Bro, Suricata) com decodificação de ARP, LLMNR, NBNS e DHCP - Monitoramento de tabelas ARP dos switches gerenciáveis (Dynamic ARP Inspection) - SIEM com correlação de eventos de autenticação (logins de IPs inesperados) - EDR com detecção de execução de ferramentas como Responder, Bettercap, Ettercap - Análise de DNS - queries com respostas de IPs não autorizados ## Mitigação | ID | Mitigação | Descrição | |---|-----------|-----------| | M1037 | [[m1037-filter-network-traffic\|M1037 - Filter Network Traffic]] | Implementar Dynamic ARP Inspection (DAI) nos switches gerenciáveis; usar DHCP Snooping para restringir servidores DHCP autorizados. | | M1041 | [[m1041-encrypt-sensitive-information\|M1041 - Encrypt Sensitive Information]] | Forçar TLS 1.2+ em todos os serviços internos; desabilitar SSL, TLS 1.0 e 1.1; usar HSTS para aplicações web. | | M1035 | [[m1035-limit-access-to-resource-over-network\|M1035 - Limit Access to Resource Over Network]] | Segmentar redes com VLANs por função; restringir acesso lateral entre segmentos com ACLs em camada 3. | | M1042 | [[m1042-disable-or-remove-feature-or-program\|M1042 - Disable or Remove Feature or Program]] | Desabilitar LLMNR via GPO (`Computer Configuration > Administrative Templates > Network > DNS Client > Turn off Multicast Name Resolution`) e NBT-NS nas configurações TCP/IP. | | M1017 | [[m1017-user-training\|M1017 - User Training]] | Treinar usuários para identificar certificados inválidos e alertas de segurança do navegador - indícios de intercepção TLS. | | M1031 | [[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]] | Implantar IPS com assinaturas para detecção de ferramentas AiTM comuns (Responder, Bettercap); monitorar anomalias de ARP. | | M1030 | [[m1030-network-segmentation\|M1030 - Network Segmentation]] | Separar segmentos de usuários, servidores e IoT; limitar broadcast domains para reduzir o escopo de ataques ARP/LLMNR. | ## Sub-técnicas - [[NBT-NS Poisoning and SMB Relay]] - [[t1557-002-arp-cache-poisoning|T1557.002 - ARP Cache Poisoning]] - [[t1557-003-dhcp-spoofing|T1557.003 - DHCP Spoofing]] - [[t1557-004-evil-twin|T1557.004 - Evil Twin]] ## Threat Actors que Usam - [[g0129-mustang-panda|Mustang Panda]] - uso de ARP poisoning em redes corporativas comprometidas no sudeste asiático e LATAM - [[g0094-kimsuky|Kimsuky]] - LLMNR poisoning para captura de credenciais em organizações de pesquisa - [[g1041-sea-turtle|Sea Turtle]] - DNS hijacking em escala de registradores e ISPs, com alvos governamentais ## Software Associado - [[s0281-dok|Dok]] - malware macOS que instala certificados raiz falsos para intercepção HTTPS - [[s1131-nppspy|NPPSPY]] - DLL maliciosa que usa a API Windows Networking para capturar credenciais em trânsito - [[s1188-line-runner|Line Runner]] - malware para dispositivos de rede Barracuda ESG, posiciona implante para intercepção ## Contexto Brasil/LATAM O Brasil e a América Latina apresentam exposição significativa a técnicas AiTM devido à combinação de fatores estruturais: **Infraestrutura legada:** Grande parte dos ambientes corporativos e governamentais brasileiros ainda opera com Windows Server 2008/2012 e configurações padrão de Active Directory com LLMNR e NBT-NS habilitados. Um estudo da Tempest Security Intelligence (2024) apontou que mais de 60% dos ambientes auditados no Brasil eram vulneráveis a ataques LLMNR/NBT-NS Poisoning com o Responder. **Setor financeiro:** Bancos e fintechs brasileiros são alvos frequentes de campanhas de phishing AiTM sofisticadas, especialmente com o crescimento do PIX e do Open Banking. Grupos como [[g0032-lazarus-group|Lazarus Group]] e afiliados de ransomware têm explorado técnicas de bypass de MFA via proxy reverso (Evilginx-style) contra instituições financeiras da região. **Campanhas de DNS hijacking na LATAM:** O grupo [[g1041-sea-turtle|Sea Turtle]] documentou operações de envenenamento de DNS afetando infraestrutura de ISPs e registradores de domínio em países da América Latina, incluindo México e Brasil. O redirecionamento de tráfego governamental e de telecomúnicações demonstra o nível de sofisticação e o impacto potencial na soberania digital da região. **Redes corporativas sem segmentação:** A ausência de Dynamic ARP Inspection e DHCP Snooping em switches da maioria das PMEs brasileiras torna ataques ARP/DHCP spoofing trivialmente executáveis por qualquer atacante com acesso à rede local - sejá por insider threat, comprometimento de endpoint ou dispositivo IoT vulnerável. **Campanha de phishing com AiTM (2024):** O CERT.br documentou em 2024 múltiplas campanhas direcionadas a usuários brasileiros de plataformas de nuvem (Microsoft 365, Google Workspace) utilizando infraestrutura de proxy AiTM para captura de cookies pós-MFA. Os ataques miraram principalmente setores de saúde, educação e serviços públicos. ## Referências - [MITRE ATT&CK - T1557](https://attack.mitre.org/techniques/T1557) - [MITRE ATT&CK - T1557.001 LLMNR/NBT-NS](https://attack.mitre.org/techniques/T1557/001) - [MITRE ATT&CK - T1557.002 ARP Cache Poisoning](https://attack.mitre.org/techniques/T1557/002) - [Microsoft - Mitigar ataques LLMNR e NBT-NS](https://docs.microsoft.com/security/operations/incident-response-playbooks) - [Benigni et al. - AiTM Phishing and BEC (Microsoft Security Blog, 2022)](https://www.microsoft.com/security/blog) - [Sea Turtle DNS Hijacking Campaign - Talos Intelligence](https://blog.talosintelligence.com) - [CERT.br - Relatório de Incidentes 2024](https://www.cert.br/stats/) - [[m1037-filter-network-traffic|M1037 - Filter Network Traffic]] - [[m1030-network-segmentation|M1030 - Network Segmentation]]