# T1016.001 - Descoberta de Conectividade com a Internet ## Técnica Pai Esta é uma sub-técnica de [[t1016-system-network-configuration-discovery|T1016 - T1016 - System Network Configuration Discovery]]. ## Descrição Antes de estabelecer comunicação com sua infraestrutura de comando e controle, muitos implantes de malware verificam se o sistema comprometido possui conectividade de saída com a internet. Essa verificação prévia evita que o malware "queime" seu servidor C2 em tentativas de conexão de sistemas sem acesso externo - como máquinas em redes air-gapped parciais, workstations isoladas por firewall ou hosts em segmentos de OT/ICS. A técnica é executada de formas variadas: envio de pacotes ICMP (`ping`) para endereços IP públicos conhecidos (como `8.8.8.8` do Google ou `1.1.1.1` da Cloudflare), execução de `tracert`/`traceroute` para mapear o caminho até a internet, requisições HTTP/HTTPS para domínios legítimos de alta disponibilidade, ou testes de velocidade embutidos para estimar a largura de banda disponível. O malware [[s0597-goldfinder|GoldFinder]], associado ao [[g0016-apt29|APT29]], é um exemplo especializado - sua função específica é identificar proxies HTTP e redirectores no caminho entre o host comprometido e os servidores C2. Além de confirmar a conectividade, os resultados dessas sondagens informam o adversário sobre a presença de proxies corporativos, firewalls de inspeção de tráfego SSL, ou filtragem de DNS - dados que moldam a estratégia de comunicação C2 escolhida. Grupos como [[g0010-turla|Turla]] e [[g1017-volt-typhoon|Volt Typhoon]] utilizam essa técnica para identificar rotas alternativas e infraestrutura de proxy antes de estabelecer seus canais encobertos. É uma sub-técnica direta de [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]]. **Contexto Brasil/LATAM:** Essa técnica é altamente relevante no contexto de ataques a infraestrutura crítica e setor financeiro no Brasil, onde redes corporativas frequentemente utilizam proxies de inspeção e filtragem de saída. O grupo [[g1016-fin13|FIN13]], com histórico de operações prolongadas contra bancos brasileiros e mexicanos, usa verificações de conectividade como parte de seu processo de reconhecimento silencioso - que pode durar meses antes da exfiltração. O [[g0047-gamaredon|Gamaredon Group]] e grupos como [[g0059-magic-hound|Magic Hound]] (iraniano) também têm presença documentada em campanhas contra organizações governamentais e de defesa na América Latina, onde essa técnica aparece na fase de "beaconing" inicial. ## Attack Flow ```mermaid graph TB A[T1016 - Config. de Rede] --> B[**T1016.001 - Verifica Conectividade**] B --> C{Internet acessível?} C -->|Sim| D[T1071 - Comúnicação C2] C -->|Não| E[Técnicas Alternativas de C2] ``` ## Como Funciona 1. **Preparação:** O implante é executado no sistema comprometido. Antes de tentar qualquer comunicação com o servidor C2 real, o malware realiza uma sondagem silenciosa de conectividade - frequentemente usando endereços e domínios legítimos para não levantar suspeitas imediatas. 2. **Execução:** O implante tenta uma ou mais das seguintes abordagens: ping para `8.8.8.8` ou `1.1.1.1`; requisição GET para `http://www.msftconnecttest.com/connecttest.txt` (endpoint legítimo da Microsoft usado pelo Windows para detectar portais cativos); consulta DNS para domínios de alta disponibilidade; ou abertura de conexão TCP na porta 443 para um IP público conhecido. 3. **Pós-execução:** Com base na resposta (ou ausência dela), o implante decide: prosseguir com a comunicação C2 direta, usar um proxy identificado como intermediário, ativar um canal alternativo (DNS over HTTPS, ICMP tunneling, C2 via serviços legítimos na nuvem), ou entrar em modo de espera até que conectividade estejá disponível. **Exemplo:** ```bash # Artefato detectável: ping para endereço IP público em contexto incomum # Gera Network Connection events (Sysmon Event ID 3) e Process Creation (ID 1) ping -n 1 8.8.8.8 # ou via PowerShell (comum em implantes modernos): Test-NetConnection -ComputerName "www.google.com" -Port 443 ``` ## Detecção **Fontes de dados:** Sysmon Event ID 3 (conexões de rede), Windows Event ID 4688 (criação de processo), DNS query logs, proxy logs de saída, EDR com telemetria de rede, logs de firewall de perímetro. ```yaml title: Suspicious Internet Connectivity Check from Unusual Process id: 9c4d8e1f-2a67-4b30-8f15-c3e7d09a2b84 status: experimental description: Detecta verificação de conectividade com a internet originada de processos incomuns - padrão de checagem pré-C2 de malware logsource: category: network_connection product: windows definition: Requer Sysmon com configuração de captura de conexões de rede detection: selection_ping: Image|endswith: '\PING.EXE' DestinationIp: - '8.8.8.8' - '8.8.4.4' - '1.1.1.1' - '1.0.0.1' selection_powershell: Image|endswith: - '\powershell.exe' - '\pwsh.exe' CommandLine|contains: - 'Test-NetConnection' - 'msftconnecttest' - 'connecttest.txt' condition: selection_ping or selection_powershell falsepositives: - Diagnóstico de rede por help desk e suporte - Scripts de monitoramento de conectividade - Verificações de captive portal em laptops corporativos level: low tags: - attack.discovery - attack.t1016.001 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | Monitoramento de DNS e proxy | Registrar todas as consultas DNS e conexões HTTP/S de saída; anomalias de processos incomuns fazendo consultas para IPs públicos são indicadoras | | Controle de saída por aplicação | Implementar firewall de aplicação (NGFW) com política de allowlist - apenas processos autorizados devem fazer conexões de saída | | Correlação comportamental | Combinar detecção de T1016.001 com [[t1016-system-network-configuration-discovery\|T1016]] e [[t1082-system-information-discovery\|T1082]] - execução encadeada das três técnicas em minutos é altamente indicativa de comprometimento | ## Referências *Fonte: [MITRE ATT&CK - T1016.001](https://attack.mitre.org/techniques/T1016/001)*