t1018-remote-system-discovery

# T1018 - Remote System Discovery ## Descrição **Remote System Discovery** é uma técnica da tática de **Discovery** pela qual adversários mapeiam ativamente outros sistemas presentes na rede - obtendo endereços IP, hostnames e identificadores lógicos que serão usados como alvos para [[t1021-remote-services|movimentação lateral]]. Essa enumeração é uma das primeiras ações realizadas após o comprometimento inicial de um endpoint: antes de escalar o ataque, o adversário precisa entender a topologia da rede e identificar ativos de alto valor como controladores de domínio, servidores de backup, sistemas de gestão industrial e segmentos de rede segregados. Os métodos de enumeração variam de acordo com o sistema operacional e o nível de acesso obtido. Em ambientes Windows, comandos como `net view`, `ping`, `nslookup` e consultas ao [[t1018-remote-system-discovery|Active Directory]] via ferramentas como [[s0684-roadtools|ROADTools]] são comuns. Em Linux e macOS, adversários recorrem a `nmap`, `arp -a`, leitura do arquivo `/etc/hosts` e varreduras de porta customizadas. Em ambientes ESXi e dispositivos de rede, a enumeração pode utilizar `esxcli network diag ping` e comandos [[t1059-008-network-device-cli|Network Device CLI]] como `show cdp neighbors` e `show arp`. Uma abordagem frequentemente negligenciada é a **enumeração passiva**: leitura do cache ARP local, análise do arquivo `hosts` do sistema operacional e consulta a logs de conexões anteriores. Esses métodos não geram tráfego de varredura e são práticamente invisíveis para soluções de detecção baseadas em volume de pacotes, tornando-os especialmente perigosos em ambientes com monitoramento de rede robusto. **Contexto Brasil/LATAM:** Grupos de [[campaign|ransomware]] que operam intensivamente no Brasil - como os operadores de [[blackcat|ALPHV]] e [[s0650-qakbot|QakBot]] - utilizam T1018 sistematicamente na fase de reconhecimento interno antes de implantar o payload de criptografia. O objetivo é identificar compartilhamentos de rede, servidores de backup e sistemas críticos para maximizar o impacto do ransomware. Grupos APT com interesse em infraestrutura crítica brasileira, como os vinculados a [[g1017-volt-typhoon|Volt Typhoon]], empregam técnicas de enumeração passiva para evitar disparar alertas em redes de alto valor como energia elétrica e telecomúnicações. | Controle | Abordagem | Aplicação Prática para Organizações Brasileiras | |----------|-----------|------------------------------------------------| | Segmentação de Rede | Microsegmentação e VLANs | Implementar segmentação estrita entre zonas (produção, administrativa, OT) para limitar o alcance da varredura - especialmente relevante em indústrias com redes legadas no Brasil | | Monitoramento de Tráfego | Detecção de varreduras por volume | Alertas para conexões ICMP ou TCP em sequência rápida para múltiplos IPs em jánelas de tempo curtas; ferramentas como Zeek/Suricata | | Network Access Control | Princípio do menor privilégio na rede | Endpoints comuns não devem ter conectividade direta com servidores críticos - use jump hosts e bastion hosts como ponto de controle | | UEBA / Análise Comportamental | Detectar anomalias de conectividade | Comparar baseline de conexões de rede por host; picos de conexões únicas a novos IPs são indicador forte de enumeração | | Honey Tokens e Decoy Hosts | Sistemas iscas que nunca recebem tráfego legítimo | Qualquer conexão a um decoy host indica varredura - excelente sinal de alta fidelidade com baixíssimo índice de falsos positivos | ## Attack Flow ```mermaid graph TB A[Acesso<br/>Inicial] --> B[Enumeração<br/>Local] B --> C{T1018\nRemote System\nDiscovery}:::highlight C --> D[Mapeamento<br/>de Rede] D --> E[Movimento<br/>Lateral] classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona ### 1. Preparação - Reconhecimento do Ambiente Local Imediatamente após ganhar acesso ao primeiro endpoint, o adversário coleta informações locais para entender o contexto da rede: endereço IP e máscara de sub-rede, gateway padrão, servidores DNS e entradas do cache ARP. Essas informações definem o escopo da varredura e revelam a estrutura de segmentação da rede. Em ambientes Windows, o comando `ipconfig /all` e `arp -a` são suficientes para essa fase inicial. ### 2. Execução - Enumeração Ativa e Passiva Com o mapa inicial em mãos, o adversário expande o reconhecimento. Métodos ativos incluem varredura de ping em faixas de IP (`for /L %i in (1,1,254) do ping -n 1 192.168.1.%i`), consultas `net view /domain`, resolução de hostnames via DNS e uso de [[s0039-net|Net]] para listar hosts do domínio. Métodos passivos incluem leitura do arquivo `C:\Windows\System32\Drivers\etc\hosts`, análise do cache NetBIOS e monitoramento de tráfego broadcast na sub-rede local. ### 3. Pós-execução - Priorização de Alvos Com a lista de sistemas identificados, o adversário prioriza alvos com base nos objetivos da operação: controladores de domínio para obter credenciais do AD, servidores de backup para sabotagem antes do ransomware, servidores de banco de dados para exfiltração de dados sensíveis. Ferramentas como [[s0534-bazar|Bazar]] e [[blackcat|BlackCat]] automatizam essa priorização integrando a descoberta de sistemas com a lógica de propagação do malware. ## Detecção **Event IDs relevantes (Windows):** | Event ID | Fonte | O que monitora | |----------|-------|----------------| | 4688 | Security | Criação de processo - `net.exe`, `ping.exe`, `nmap.exe` com argumentos de varredura | | 5156 | Security (WFP) | Conexão de rede permitida - múltiplas conexões sequenciais indicam varredura | | 4624 | Security | Logon bem-sucedido - válidação de hosts após descoberta | | 1 | Sysmon | ProcessCreaté - linha de comando completa de ferramentas de enumeração | | 3 | Sysmon | NetworkConnect - conexões de saída para múltiplos hosts em sequência rápida | **Sigma Rule - Detecção de Enumeração de Rede via Ferramentas Nativas:** ```yaml title: Enumeração de Sistemas Remotos via Ferramentas Nativas do Windows id: c3d6e5f4-3g7b-5c0d-9e2f-5h8i9j0k1l2m status: experimental description: > Detecta uso de ferramentas nativas do Windows para enumeração de sistemas remotos na rede - padrão característico da fase de Discovery em ataques de ransomware e APT pós-comprometimento inicial. author: RunkIntel daté: 2026-03-24 logsource: category: process_creation product: windows detection: selection_net_enum: Image|endswith: '\net.exe' CommandLine|contains: - 'view' - 'group' - 'localgroup' selection_ping_sweep: Image|endswith: '\ping.exe' CommandLine|contains: - '-n 1' # Ping único por host - padrão de varredura automatizada selection_nmap: Image|endswith: '\nmap.exe' condition: selection_net_enum or selection_ping_sweep or selection_nmap falsepositives: - Scripts de inventário de TI legítimos agendados - Administradores de rede realizando diagnósticos manuais - Ferramentas de monitoramento de infraestrutura (Zabbix, Nagios agents) level: medium tags: - attack.discovery - attack.t1018 ``` ## Mitigação > **Nota:** O MITRE ATT&CK não lista mitigações específicas para T1018 - a técnica utiliza funcionalidades legítimas do sistema operacional. O foco deve ser em detecção e resposta rápida. ## Threat Actors - [[g1003-ember-bear|Ember Bear]] - APT russo vinculado a ataques destrutivos na Ucrânia; usa enumeração de rede para identificar alvos de infraestrutura crítica antes de implantação de wipers - [[g0045-apt10|menuPass]] - APT chinês (APT10) com foco em prestadores de serviços gerenciados; mapeamento extensivo de redes de clientes via MSPs comprometidos - [[g0117-fox-kitten|Fox Kitten]] - Grupo iraniano especializado em exploração de VPNs; usa T1018 para mapear redes internas após comprometimento de gateways - [[g1030-agrius|Agrius]] - APT iraniano com histórico de ataques destrutivos; realiza descoberta extensiva antes de implantar wipers disfarçados de ransomware - [[g0019-naikon|Naikon]] - APT chinês com foco em governos do Sudeste Asiático; usa enumeração silenciosa para operações de espionagem de longa duração - [[g0009-deep-panda|Deep Panda]] - APT chinês com ataques a setores de saúde e governo; enumeração detalhada de redes de alto valor para exfiltração de dados - [[g1006-earth-lusca|Earth Lusca]] - Grupo de espionagem chinês; emprega descoberta de sistemas para mapear redes de governos e mídia em múltiplos países - [[g0096-apt41|APT41]] - APT chinês com dupla missão; combina enumeração automatizada (via [[s0233-murkytop|MURKYTOP]]) com análise manual de alvos de alto valor - [[g0053-fin5|FIN5]] - Grupo financeiramente motivado com histórico de ataques a empresas de pagamento; usa enumeração para localizar sistemas de processamento de cartões - [[g1017-volt-typhoon|Volt Typhoon]] - APT chinês com foco em infraestrutura crítica; especializado em enumeração passiva para evitar detecção em redes sensíveis como energia e telecomúnicações ## Software Associado - [[s0233-murkytop|MURKYTOP]] - Ferramenta de enumeração utilizada pelo [[g0096-apt41|APT41]] para descoberta automatizada de sistemas em redes comprometidas - [[s0586-taintedscribe|TAINTEDSCRIBE]] - Implante que inclui capacidades de enumeração de rede utilizadas pelo [[g0094-kimsuky|Kimsuky]] em operações de espionagem - [[s0684-roadtools|ROADTools]] - Framework de enumeração de Active Directory e Azure AD, frequentemente utilizado para descoberta de sistemas em ambientes híbridos - [[bitpaymer|BitPaymer]] - Ransomware que realiza enumeração de rede para identificar compartilhamentos e sistemas críticos antes da criptografia - [[s0650-qakbot|QakBot]] - Botnet/loader com módulo de descoberta de rede integrado; base para campanhas de ransomware no Brasil - [[s0452-usbferry|USBferry]] - Malware especializado em redes air-gapped que enumera sistemas via USB para mapeamento de ambientes isolados - [[s0534-bazar|Bazar]] - Loader utilizado pelo grupo TrickBot/Conti com capacidade de descoberta de sistemas para propagação de ransomware - [[badhatch|BADHATCH]] - Backdoor com módulo de enumeração de rede utilizado pelo grupo FIN8 em ataques a setores de varejo e hospitalidade - [[blackcat|BlackCat]] - Ransomware que enumera sistemas remotos automaticamente para maximizar o impacto da criptografia em redes corporativas - [[s0039-net|Net]] - Ferramenta nativa do Windows amplamente utilizada por múltiplos grupos para enumeração de domínio e compartilhamentos de rede --- *Fonte: [MITRE ATT&CK - T1018](https://attack.mitre.org/techniques/T1018)*