t1016-002-wi-fi-discovery

# T1016.002 - Wi-Fi Discovery ## Técnica Pai Esta é uma sub-técnica de [[t1016-system-network-configuration-discovery|T1016 - T1016 - System Network Configuration Discovery]]. ## Descrição Wi-Fi Discovery é uma subtécnica de [[t1016-system-network-configuration-discovery|System Network Configuration Discovery]] (T1016) por meio da qual o adversário coleta informações sobre redes sem fio disponíveis e anteriormente conectadas - incluindo SSIDs, senhas armazenadas e detalhes de configuração - num sistema comprometido. Esses dados são valiosos tanto para reconhecimento da rede local quanto para expansão do acesso a novos ambientes. Em sistemas Windows, a técnica mais comum utiliza a ferramenta nativa `netsh wlan`: `netsh wlan show profiles` lista todos os perfis Wi-Fi salvos e `netsh wlan show profile "NomeRede" key=clear` expõe a senha em texto claro. Além disso, chamadas à [[t1106-native-api|Native API]] via `wlanAPI.dll` permitem enumerar redes alcançáveis em tempo real sem necessidade de privilégios elevados. Em Linux, as credenciais de redes anteriores ficam armazenadas em `/etc/NetworkManager/system-connections/` em texto estruturado - acessível com permissões de leitura no diretório. Em macOS, o comando `security find-generic-password -wa <nome_rede>` recupera senhas do Keychain, exigindo credenciais de admin. O valor estratégico desta técnica vai além da simples coleta de senhas: a lista de redes Wi-Fi previamente conectadas revela locais físicos frequentados pelo usuário (home office, escritórios, hotéis, aeroportos), pode indicar a presença de redes corporativas separadas (ex: redes OT/ICS desconectadas da internet), e fornece vetores para movimentação lateral via [[t1018-remote-system-discovery|Remote System Discovery]] se a rede alvo estiver ao alcance. A técnica também alimenta operações de [[t1087-account-discovery|Account Discovery]] quando SSIDs correspondem a nomes de domínio ou de organizações. **Contexto Brasil/LATAM:** No contexto brasileiro, Wi-Fi Discovery ganha relevância especial em ataques a profissionais em regime de trabalho remoto e híbrido - modelo amplamente adotado após 2020. A coleta de credenciais Wi-Fi de dispositivos corporativos usados em ambientes domésticos pode expor redes residenciais que também abrigam dispositivos IoT, câmeras IP e outros equipamentos com baixa segurança. O grupo [[g0059-magic-hound|Magic Hound]] (APT iraniano) utilizou [[s0331-agent-tesla|Agent Tesla]] - ativo em campanhas contra empresas brasileiras - com módulo de Wi-Fi Discovery para enriquecer o perfil de vítimas. Malware como [[s0367-emotet|Emotet]] e [[g0095-machete|Machete]] (grupo LATAM) também incorporam essa capacidade. ## Attack Flow ```mermaid graph TB A[Acesso Inicial T1566 Phishing] --> B[Execução T1059 Shell/Script] B --> C[T1016.002 Wi-Fi Discovery]:::highlight C --> D[Reconhecimento T1018 Remote System Discovery] D --> E[Credenciais T1552 Credentials in Files] classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b ``` ## Como Funciona 1. **Preparação:** O adversário, após comprometer o sistema via [[t1566-phishing|phishing]] ou execução de malware, incorpora o módulo de Wi-Fi Discovery no payload - muitas vezes como parte de um stealer comercial como [[s0331-agent-tesla|Agent Tesla]] ou [[s0367-emotet|Emotet]]. O módulo é configurado para capturar e exfiltrar automaticamente os dados de Wi-Fi como parte do pacote de reconhecimento inicial. 2. **Execução:** No Windows, os comandos `netsh wlan show profiles` e `netsh wlan show profile * key=clear` são executados via [[t1059-003-windows-command-shell|Windows Command Shell]] ou por chamadas diretas à [[t1106-native-api|Native API]] (`wlanAPI.dll`). No Linux, o conteúdo de `/etc/NetworkManager/system-connections/` é lido diretamente. A saída inclui SSIDs, tipos de autenticação e senhas em texto claro para redes com segurança WPA2-Personal. 3. **Pós-execução:** Os dados coletados são exfiltrados para a infraestrutura de C2 do adversário - geralmente comprimidos junto com outros dados de reconhecimento como capturas de tela, histórico de browser e credenciais salvas. A análise dos SSIDs pode revelar redes corporativas adicionais, orientar [[t1018-remote-system-discovery|Remote System Discovery]] e subsidiar a fase de [[ta0006-credential-access|Credential Access]] para redes Wi-Fi corporativas com autenticação 802.1X. ## Detecção **Fontes de dados:** - **Sysmon Event ID 1 (Process Creation):** Execução de `netsh.exe` com argumentos `wlan show profile` e `key=clear` - **Windows Event Log Event ID 4688:** Criação de processos com linha de comando completa (requer auditoria ativada) - **PowerShell ScriptBlock Logging (Event ID 4104):** Invocações de `wlanAPI.dll` via chamadas .NET ou P/Invoke - **Linux auditd:** Acessos de leitura a `/etc/NetworkManager/system-connections/` por processos fora do NetworkManager - **EDR behavioral:** Correlação de `netsh.exe` invocado por processos filho de Office, navegadores ou scripts - fora do contexto esperado de administração de rede - **Monitoramento de rede:** Exfiltração de dados estruturados com padrão de SSID/senha logo após comprometimento **Sigma Rule:** ```yaml title: Wi-Fi Discovery via netsh com exposição de senha status: experimental description: Detecta o uso de netsh para listar perfis Wi-Fi e expor senhas em texto claro - padrão usado por stealers e RATs logsource: category: process_creation product: windows detection: selection_profiles: Image|endswith: '\netsh.exe' CommandLine|contains: - 'wlan show profile' selection_key: Image|endswith: '\netsh.exe' CommandLine|contains: - 'key=clear' filter_admin: ParentImage|endswith: - '\services.exe' - '\mmc.exe' condition: (selection_profiles or selection_key) and not filter_admin falsepositives: - Administradores de rede realizando inventário de conectividade - Scripts de onboarding corporativo level: high tags: - attack.discovery - attack.t1016.002 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | Restrição de acesso ao netsh | Bloquear via AppLocker ou WDAC a execução de `netsh.exe` com argumentos `wlan` por usuários não-administradores. Em ambientes corporativos brasileiros, poucos usuários têm necessidade legítima de usar `netsh wlan` diariamente. | | Evitar redes WPA2-Personal em ambientes corporativos | Migrar para autenticação WPA2/WPA3-Enterprise (802.1X) com certificados por dispositivo. Isso elimina a existência de uma senha de rede compartilhada que possa ser exfiltrada. | | Proteção de credenciais armazenadas | Em Linux, restringir permissões de `/etc/NetworkManager/system-connections/` para leitura apenas por root. Em macOS, revisar políticas de Keychain Access para restringir acesso programático. | | EDR com detecção de stealer | Implementar regras comportamentais de EDR que correlacionem execução de `netsh wlan` com outros indicadores de stealer: acesso a banco de dados de senhas de browser, captura de tela e exfiltração de dados. | | Segmentação de redes Wi-Fi | Manter redes Wi-Fi corporativas separadas de redes de convidados e IoT. Em ambientes de manufatura e OT no Brasil, garantir que redes industriais não estejam acessíveis via Wi-Fi sem isolamento rigoroso. | ## Threat Actors - [[g0059-magic-hound|Magic Hound]] - APT iraniano (Charming Kitten / APT35); utilizou Wi-Fi Discovery como parte de campanhas de espionagem que visaram jornalistas, acadêmicos e organizações de defesa, incluindo alvos no Brasil e LATAM via [[s0331-agent-tesla|Agent Tesla]] ## Software Associado - [[s1228-pubload|PUBLOAD]] (malware) - loader associado ao Tropic Trooper com capacidade de coleta de configuração de rede - [[s0674-charmpower|CharmPower]] (malware) - backdoor PowerShell do Magic Hound com módulo de reconhecimento de sistema incluindo Wi-Fi - [[g0095-machete|Machete]] (malware) - RAT do grupo Machete, ativo contra alvos militares e governamentais na América Latina; inclui módulo de Wi-Fi Discovery - [[s0331-agent-tesla|Agent Tesla]] (malware) - stealer amplamente usado em campanhas contra empresas brasileiras; coleta perfis Wi-Fi como parte do pacote padrão de exfiltração de credenciais - [[s0367-emotet|Emotet]] (malware) - botnet modular que incluiu Wi-Fi spreader capaz de enumerar redes e tentar senhas via força bruta para propagação lateral --- *Fonte: [MITRE ATT&CK - T1016.002](https://attack.mitre.org/techniques/T1016/002)*