# T1599.001 - Network Address Translation Traversal > [!danger] Técnica de Dispositivos de Rede > NAT Traversal em contexto ofensivo requer controle ou acesso privilegiado ao dispositivo de borda (roteador, firewall). Quando bem-sucedida, permite que adversários cruzem limites de rede normalmente isolados - conectando redes internas protegidas a ambientes externos ou criando canais de comunicação ocultos. ## Descrição **Network Address Translation Traversal** (T1599.001) é uma sub-técnica de [[t1599-network-boundary-bridging|T1599 - Network Boundary Bridging]] na qual adversários modificam ou exploram configurações NAT em dispositivos de rede para transpor fronteiras que separam redes confiáveis de redes não confiáveis, obtendo acesso a recursos internos normalmente inacessíveis ou ocultando suas atividades de comunicação. O **Network Address Translation (NAT)** é um mecanismo fundamental de roteamento que traduz endereços IP privados (RFC 1918) em endereços públicos roteáveis - e vice-versa - no momento em que pacotes cruzam um dispositivo de borda de rede. Firewalls, roteadores e appliances de segurança de rede utilizam NAT amplamente, especialmente em ambientes corporativos com segmentação interna. Quando um adversário **compromete um dispositivo de borda** - sejá por credenciais padrão, exploração de vulnerabilidade ou [[t1078-valid-accounts|contas válidas]] - ele pode manipular a tabela de tradução NAT para: 1. **Rotear tráfego entre redes segregadas** que normalmente não se comúnicariam 2. **Mascarar a origem real** de conexões maliciosas alterando endereços de pacotes 3. **Expor serviços internos** para redes externas através de redirecionamento de portas 4. **Criar túneis implícitos** aproveitando protocolos de traversal como STUN, TURN e UPnP A técnica é particularmente poderosa porque explora a **lógica central do roteamento de rede** - as alterações de endereços são indistinguíveis de traduções legítimas para observadores externos. Pode ser combinada com [[t1601-001-patch-system-image|T1601.001 - Patch System Image]] para implementar mecanismos NAT customizados no firmware do dispositivo. **Técnica pai:** [[t1599-network-boundary-bridging|T1599 - Network Boundary Bridging]] --- ## Como Funciona ### Vetor 1 - Modificação Direta de Tabelas NAT O adversário com acesso privilegiado ao dispositivo de borda (via CLI, SNMP write, ou API REST de gerenciamento) altera diretamente as regras de tradução de endereços: - Adiciona regras de **DNAT (Destination NAT)** que redirecionam tráfego externo para hosts internos específicos - Adiciona regras de **SNAT (Source NAT)** que substituem a origem de pacotes maliciosos por endereços legítimos internos - Modifica regras existentes para ampliar o escopo de tradução ### Vetor 2 - Exploração de Protocolos de Traversal Protocolos projetados para contornar NAT em cenários legítimos (VoIP, WebRTC, P2P) podem ser abusados: | Protocolo | Uso Legítimo | Abuso Potencial | |-----------|-------------|-----------------| | **STUN** (Session Traversal Utilities for NAT) | Descoberta de IP público para VoIP/WebRTC | Mapeamento de topologia interna, C2 via reflexão | | **TURN** (Traversal Using Relays around NAT) | Relay de mídia para WebRTC quando STUN falha | Criação de canal de relay entre redes segmentadas | | **UPnP** (Universal Plug and Play) | Auto-configuração de port forwarding em redes domésticas | Abertura de port forwards persistentes para hosts internos | | **NAT-PMP** | Solicitação automática de port mapping em roteadores Apple | Exposição de serviços internos sem autenticação | ### Vetor 3 - Comprometimento de Firmware (combinado com T1601.001) Em ataques sofisticados, o adversário implanta firmware modificado no dispositivo de borda que implementa NAT personalizado invisível para ferramentas de auditoria padrão. Este vetor foi documentado em campanhas de espionagem patrocinadas por estados-nação contra dispositivos Cisco, Juniper e Fortinet. --- ## Attack Flow ```mermaid graph TB A([Adversário Externo]) --> B[Reconhecimento<br/>de dispositivos de borda] B --> C{Vetor de acesso\não dispositivo} C -->|Credenciais padrão / fracas| D[Login direto via<br/>SSH / Telnet / HTTP] C -->|CVE em appliance| E[Exploração de<br/>vulnerabilidade no firmware] C -->|Comprometimento interno| F[Pivoting via host<br/>na rede interna] D --> G[Acesso privilegiado<br/>ao dispositivo de borda] E --> G F --> G G --> H{Estrategia\nNAT} H -->|Acesso direto| I[Modificar tabela NAT<br/>DNAT / SNAT / Port Forward] H -->|Ocultação| J[Mascarar origem<br/>de tráfego malicioso] H -->|Persistência| K[Patch System Image<br/>NAT customizado no firmware] I --> L[Tráfego cruza fronteira<br/>de rede normalmente bloqueada] J --> L K --> L L --> M[Acesso a hosts internos<br/>isolados da internet] M --> N[Exfiltração de dados /<br/>Movimento Lateral / C2] N --> O([Impacto - Espionagem<br/>ou Sabotagem]) ``` --- ## Exemplos de Uso ### Grupos de Ameaça Documentados Esta técnica está associada a atores com capacidade avançada de comprometimento de infraestrutura de rede - frequentemente grupos de espionagem patrocinados por estados-nação. | Ator | Contexto | Técnica Relacionada | |------|----------|---------------------| | [[g1017-volt-typhoon\|Volt Typhoon]] (China) | Comprometimento massivo de roteadores SOHO para criar rede de proxy | Modificação de configurações de roteamento e NAT | | [[g0096-apt41\|APT41]] (China) | Ataques a provedores de telecomúnicações - pivoting entre redes de operadoras | Manipulação de dispositivos de borda para acesso a redes de cliente | | [[g0034-sandworm\|Sandworm]] (Rússia) | Ataques a infraestrutura crítica ucraniana | Comprometimento de roteadores industriais com modificação de firmware | | Grupo anônimo | Campanha contra provedores ISP no LATAM | NAT traversal em roteadores Mikrotik com credenciais padrão | ### Caso Documentado - Botnet de Roteadores Mikrotik Em múltiplas campanhas entre 2023 e 2025, adversários exploraram credenciais padrão e vulnerabilidades não corrigidas em **roteadores Mikrotik** amplamente usados por ISPs e PMEs no Brasil para: 1. Obter acesso root ao RouterOS 2. Adicionar regras NAT que redirecionavam tráfego específico através do roteador comprometido 3. Usar os dispositivos como proxies/relays para ocultar a origem de ataques subsequentes > [!warning] Relevância para o Brasil > Roteadores Mikrotik são extremamente populares entre ISPs e pequenas empresas brasileiras. A combinação de credenciais padrão não alteradas + UPnP habilitado + ausência de monitoramento de configuração cria uma superfície de ataque massiva para esta técnica. --- ## Detecção ### Indicadores de Comprometimento | Indicador | Tipo | Prioridade | |-----------|------|------------| | Novas regras NAT não autorizadas nos dispositivos de borda | Configuração | Crítica | | Tráfego entre VLANs ou segmentos normalmente isolados | Rede | Alta | | Acesso SSH/Telnet ao dispositivo de gerenciamento de IP externo | Autenticação | Alta | | Regras UPnP persistentes com destinos internos em portas incomuns | Configuração | Alta | | Modificação de configuração de roteador fora da jánela de mudança | Auditoria | Média | | Aumento de tráfego em interfaces de borda sem explicação de negócio | Rede | Média | ### Regra Sigma ```yaml title: Unauthorized NAT Rule Addition on Network Device id: 4c8b2e71-9f3a-41d5-b827-e1c4a93d5f62 status: experimental description: > Detecta adição de regras NAT não autorizadas em logs de dispositivos de rede, indicador de possível NAT Traversal ofensivo (T1599.001). references: - https://attack.mitre.org/techniques/T1599/001/ author: RunkIntel daté: 2026-03-25 tags: - attack.defense_evasion - attack.t1599.001 logsource: product: network_device category: firewall detection: selection_nat_change: EventID: - 'ROUTING_NAT_ADDED' - 'FIREWALL_NAT_RULE_MODIFIED' rule_type|contains: - 'DNAT' - 'SNAT' - 'MASQUERADE' filter_change_window: change_ticket|exists: true condition: selection_nat_change and not filter_change_window falsepositives: - Mudanças de NAT autorizadas pelo time de redes fora do processo formal - Automação de configuração sem campo de ticket preenchido level: high ``` ### Fontes de Dados para Monitoramento | Fonte | O que monitorar | |-------|----------------| | SNMP traps / Syslog de roteadores | Mudanças de configuração, especialmente tabelas NAT e ACLs | | NetFlow / IPFIX | Fluxos entre segmentos normalmente isolados | | Logs de autenticação em dispositivos | Logins de IPs não autorizados ou fora de horário comercial | | NMS (Network Management System) | Diffs de configuração em dispositivos de borda | | Honeypot de protocolo UPnP | Requisições UPnP incomuns na rede interna | --- ## Mitigação | ID | Mitigação | Descrição | Efetividade | |----|-----------|-----------|-------------| | [[m1027-password-policies\|M1027]] | Password Policies | Eliminar credenciais padrão em todos os dispositivos de borda; implementar rotação automática de senhas de serviço | Muito Alta | | [[m1043-credential-access-protection\|M1043]] | Credential Access Protection | Armazenar credenciais de dispositivos em cofres de senha (CyberArk, HashiCorp Vault) com acesso just-in-time | Alta | | [[m1032-multi-factor-authentication\|M1032]] | Multi-factor Authentication | Exigir MFA para acesso de gerenciamento a todos os dispositivos de rede - especialmente via SSH e interfaces web | Alta | | [[m1026-privileged-account-management\|M1026]] | Privileged Account Management | Segregar contas de gerenciamento de rede com escopo mínimo; auditar acesso privilegiado a dispositivos de borda | Alta | | [[m1037-filter-network-traffic\|M1037]] | Filter Network Traffic | Restringir acesso de gerenciamento a redes OOB (Out-of-Band) dedicadas; bloquear protocolos de traversal desnecessários (UPnP, NAT-PMP) | Alta | | Desabilitar UPnP | Hardening | Desabilitar UPnP em todos os roteadores voltados para internet - especialmente em ambientes corporativos e ISPs | Muito Alta | | Configuration monitoring | NMS/SIEM | Implementar diff automático de configurações com alerta em mudanças não autorizadas | Alta | --- ## Contexto Brasil/LATAM O Brasil apresenta condições particularmente favoráveis para a exploração desta técnica no contexto de infraestrutura de rede: ### Fatores de Risco Específicos > [!example] Superfície de Ataque no Brasil > **ISPs regionais**: Centenas de provedores de acesso à internet de pequeno e médio porte no interior do Brasil operam com roteadores Mikrotik e equipamentos Huawei com configurações padrão e sem equipes dedicadas de segurança. > > **Provedores de telecomunicação**: Embratel, Vivo e outros grandes operadores possuem infraestrutura complexa de NAT em seus backbones - um adversário com acesso a equipamentos de core pode comprometer a comunicação de múltiplos clientes simultaneamente. > > **Redes industriais**: Sistemas SCADA e OT em usinas, refinarias e instalações de gás natural frequentemente dependem de roteadores corporativos para comunicação entre segmentos OT e IT - um ponto crítico onde NAT Traversal pode ser devastador. ### Campanhas Relevantes para LATAM Campanhas de grupos como [[g1017-volt-typhoon|Volt Typhoon]] - que usa dispositivos de rede comprometidos como rede de proxy - têm sido documentadas na América Latina em 2024 e 2025, afetando principalmente infraestruturas de telecomúnicações e energia. A **ANATEL** e o **CERT.br** emitiram alertas em 2024 sobre comprometimento de roteadores residenciais e corporativos no Brasil, utilizados como proxies para ataques de negação de serviço e coleta de credenciais. ### Recomendações para Operadores Brasileiros 1. **Auditar imediatamente** credenciais de acesso em todos os roteadores e firewalls de borda 2. **Desabilitar UPnP** em toda infraestrutura corporativa - não há caso de uso legítimo em ambientes gerenciados 3. **Implementar registro de configuração** com alertas de diff em dispositivos críticos 4. **Isolar interfaces de gerenciamento** em VLANs de OOB com acesso restrito por IP de origem 5. **Monitorar fluxos NetFlow** entre segmentos de rede que normalmente não se comúnicam 6. **Aplicar patches** em dispositivos Mikrotik, Cisco IOS e Junos - muitas CVEs exploradas por atores relevantes afetam versões não atualizadas amplamente usadas no Brasil --- ## Referências - [MITRE ATT&CK - T1599.001: NAT Traversal](https://attack.mitre.org/techniques/T1599/001/) - [MITRE ATT&CK - T1599: Network Boundary Bridging](https://attack.mitre.org/techniques/T1599/) - [CERT.br - Alerta sobre comprometimento de roteadores](https://www.cert.br/) - [RFC 5389 - STUN Protocol](https://datatracker.ietf.org/doc/html/rfc5389) - [RFC 8489 - STUN (atualização)](https://datatracker.ietf.org/doc/html/rfc8489) - [UPnP Security Vulnerabilities - US-CERT](https://www.cisa.gov/) - [[g1017-volt-typhoon|Volt Typhoon - Grupo de Ameaça]] - [[t1601-001-patch-system-image|T1601.001 - Patch System Image]] - [[m1037-filter-network-traffic|M1037 - Filter Network Traffic]] - [[m1032-multi-factor-authentication|M1032 - Multi-Factor Authentication]] --- *Fonte: [MITRE ATT&CK - T1599.001](https://attack.mitre.org/techniques/T1599/001)*