t1016-system-network-configuration-discovery

# T1016 - Descoberta de Configuração de Rede do Sistema ## Descrição Após obter acesso a um sistema, adversários frequentemente realizam um mapeamento detalhado da configuração de rede local antes de avançar no ataque. O objetivo é entender onde estão: qual é o endereço IP da máquina comprometida, a qual segmento de rede ela pertence, quais rotas estão configuradas, quais servidores DNS e gateways são utilizados, e se há interfaces adicionais indicando múltiplas redes - o que pode revelar caminhos para segmentos mais sensíveis da infraestrutura. Para isso, os atacantes utilizam utilitários nativos do sistema operacional que raramente geram alertas isolados, pois são ferramentas legítimas de administração. No Windows, `ipconfig /all`, `arp -a`, `nbtstat -n`, `netstat -rn` e `route print` são os mais comuns. No Linux e macOS, seus equivalentes são `ifconfig`, `ip addr`, `ip route`, `arp -n` e `netstat -r`. Em dispositivos de rede como roteadores e switches, comandos de CLI como `show ip interface brief` e `show ip route` servem ao mesmo propósito. Em ambientes VMware ESXi, o utilitário `esxcli` permite recuperar configurações de interface e endereçamento IP. A coleta dessas informações alimenta diretamente as próximas etapas do ataque - especialmente movimentação lateral ([[t1021-remote-services|T1021]]), varredura de rede ([[t1046-network-service-discovery|T1046]]) e a identificação de proxies ou redirectores que possam mascarar comúnicações com o servidor C2. Sub-técnicas como [[t1016-001-internet-connection-discovery|T1016.001]] (verificação de conectividade com a internet) e [[t1016-002-wi-fi-discovery|T1016.002]] (enumeração de redes Wi-Fi) derivam diretamente desse comportamento. Malwares como [[pikabot|Pikabot]], [[s0024-dyre|Dyre]] e [[s0365-olympic-destroyer|Olympic Destroyer]] integram essa coleta em seus módulos de reconhecimento automatizado. **Contexto Brasil/LATAM:** Essa técnica é onipresente em intrusões contra o setor financeiro brasileiro - o país com maior volume de ataques de ransomware e fraude financeira na América Latina. Grupos como [[g1016-fin13|FIN13]], que opera específicamente contra bancos e fintechs mexicanas e brasileiras, e o ransomware [[g1040-play|Play]], responsável por ataques a organizações no Brasil em 2024 e 2025, documentadamente utilizam T1016 na fase de reconhecimento interno. O [[g1043-blackbyte|BlackByte]] também foi observado usando essa técnica em intrusões contra setores de manufatura e serviços financeiros na região. A técnica é de detecção difícil isoladamente - seu indicador mais forte é a execução em cadeia com outras técnicas de discovery. ## Attack Flow ```mermaid graph TB A[Acesso Inicial / Execução] --> B[**T1016 - Descoberta de Config. de Rede**] B --> C[T1046 - Varredura de Rede] B --> D[T1021 - Serviços Remotos] C --> E[Movimentação Lateral] ``` ## Como Funciona 1. **Preparação:** O adversário já tem execução de código no sistema - sejá via shell reverso, implante de malware ou acesso legítimo com credenciais comprometidas. O reconhecimento de rede é geralmente automatizado, executado nos primeiros minutos após o acesso inicial. 2. **Execução:** São executados múltiplos comandos nativos em sequência para coletar o perfil completo de rede: endereços IP e MAC de todas as interfaces, tabela de roteamento, cache ARP (revelando hosts ativos no segmento), configuração DNS, nome do host e configurações NetBIOS. Em ambientes corporativos, o domínio AD também fica exposto via `ipconfig /all` (campo "DNS Suffix Search List"). 3. **Pós-execução:** Os dados coletados são armazenados em arquivo temporário ou exfiltrados diretamente para o C2. Com essas informações, o adversário mapeia o perímetro interno, identifica segmentos de rede críticos (redes de OT/ICS, segmentos de servidores, DMZ) e planejá o próximo movimento - tipicamente varredura de portas ou tentativa de autenticação lateral via SMB/RDP. **Exemplo:** ```bash # Artefato detectável no Windows - execução sequencial de comandos de rede # Gera eventos de Process Creation (Event ID 4688 / Sysmon Event ID 1) ipconfig /all && arp -a && route print && nbtstat -n ``` ## Detecção **Fontes de dados:** Windows Event ID 4688 (criação de processo com linha de comando), Sysmon Event ID 1, EDR process telemetry, auditoria de comandos em dispositivos de rede (syslog), logs de auditoria ESXi. ```yaml title: Network Configuration Discovery via Native Tools id: 3a7f2c91-8b4e-4f15-a023-d6e1c9b85f42 status: experimental description: Detecta execução encadeada de utilitários de descoberta de configuração de rede - padrão comum em reconhecimento pós-comprometimento logsource: category: process_creation product: windows detection: selection: Image|endswith: - '\ipconfig.exe' - '\arp.exe' - '\nbtstat.exe' - '\route.exe' - '\netstat.exe' timeframe: 5m condition: selection | count() by ComputerName > 3 falsepositives: - Scripts de inventário de ativos corporativos - Agentes de monitoramento de rede (PRTG, Zabbix) - Troubleshooting legítimo por administradores level: medium tags: - attack.discovery - attack.t1016 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | Monitoramento comportamental | Correlacionar execução de múltiplos comandos de rede em curto intervalo de tempo - isolados são benignos, em cadeia indicam reconhecimento automatizado | | Auditoria de linha de comando | Habilitar Process Creation Auditing (Event ID 4688) com inclusão de command line; usar Sysmon para cobertura mais detalhada | | Segmentação de rede | Limitar o que é "descobrível" - VLANs bem segmentadas reduzem o valor das informações coletadas por esta técnica | ## Sub-técnicas - [[t1016-001-internet-connection-discovery|T1016.001 - Internet Connection Discovery]] - [[t1016-002-wi-fi-discovery|T1016.002 - Wi-Fi Discovery]] ## Referências *Fonte: [MITRE ATT&CK - T1016](https://attack.mitre.org/techniques/T1016)*