t1046-network-service-discovery

# T1046 - Network Service Discovery ## Descrição A Descoberta de Serviços de Rede (Network Service Discovery) é uma técnica amplamente utilizada por adversários para mapear a superfície de ataque de uma rede antes de escalar privilégios ou realizar movimentação lateral. O objetivo é identificar quais serviços estão ativos em hosts remotos - como RDP, SMB, SSH, HTTP e bases de dados - e quais versões estão rodando, permitindo ao atacante identificar alvos vulneráveis a exploração remota. Ferramentas como [[s0590-nbtscan|NBTscan]], Nmap e scripts personalizados são frequentemente empregadas nessa fase de reconhecimento interno. Em ambientes de nuvem, adversários adaptam essa técnica para descobrir serviços em instâncias cloud vizinhas ou em infraestrutura híbrida conectada a redes on-premises. No macOS, o daemon `mDNSResponder` do protocolo Bonjour é explorado para descobrir serviços anunciados automaticamente na rede local - bastando um simples `dns-sd -B _ssh._tcp .` para listar todos os hosts com SSH ativo. Frameworks de pós-exploração como [[s0363-empire|Empire]] e ferramentas de acesso remoto como [[s0192-pupy|Pupy]] incorporam essa funcionalidade de forma nativa, reduzindo a necessidade de trazer ferramentas externas ao ambiente comprometido. Malwares industriais como [[s0604-industroyer|Industroyer]] e [[s0089-blackenergy|BlackEnergy]] utilizaram essa técnica extensivamente para identificar sistemas SCADA e dispositivos ICS antes de executar payloads destrutivos. O malware [[s1073-royal-blacksuit|Royal]] (ransomware) realiza varredura de serviços para identificar compartilhamentos SMB e sistemas de backup antes da fase de criptografia, maximizando o impacto do ataque. **Contexto Brasil/LATAM:** No Brasil, essa técnica é rotineiramente detectada em incidentes envolvendo grupos financeiramente motivados como o [[g1016-fin13|FIN13]], que realiza varreduras extensivas de redes bancárias e de varejo para mapear sistemas de PDV e servidores de autorização de transações. O setor de energia e infraestrutura crítica nacional (refinarias, distribuidoras) também é alvo frequente, com grupos como [[g1017-volt-typhoon|Volt Typhoon]] documentados realizando descobertas de serviços em redes de infraestrutura crítica. A combinação de redes corporativas mal segmentadas e uso extensivo de serviços legados (Telnet, FTP, SMBv1) amplifica o risco nas organizações brasileiras. ## Attack Flow ```mermaid graph TB A["🎯 Acesso Inicial<br/>(Initial Access)"] --> B["🔍 Reconhecimento Interno<br/>(Internal Recon)"] B --> C["T1046 - Network\nService Discovery" ]:::highlight C --> D["💥 Exploração de Serviço<br/>(Exploit Service)"] D --> E["↔️ Movimentação Lateral<br/>(Lateral Movement)"] classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b,stroke-width:2px ``` ## Como Funciona ### 1. Preparação O adversário já possui acesso a um host comprometido dentro da rede alvo. Nessa fase, ele identifica as ferramentas disponíveis no ambiente (Nmap, PowerShell, `net view`, `arp -a`) ou transfere utilitários próprios como [[s0590-nbtscan|NBTscan]]. Define os alvos da varredura: faixas de IP internas, segmentos de rede específicos ou listas de hosts extraídas do Active Directory. Em ambientes cloud, obtém credenciais de acesso às APIs de descoberta de recursos (ex: `DescribeInstances` na AWS). ### 2. Execução A varredura é iniciada com técnicas que variam de passiva (captura de tráfego ARP/mDNS) a ativa (SYN scan em portas comuns: 22, 80, 443, 445, 3389, 1433, 3306, 5432). Ferramentas como [[s0363-empire|Empire]] automatizam a varredura e retornam inventário estruturado de serviços. No macOS, consultas mDNS (`dns-sd`) revelam serviços anunciados sem gerar tráfego suspeito. Em containers e IaaS, CLIs como `kubectl get services` ou `aws ec2 describe-instances` entregam o mapa de serviços sem necessidade de varredura ativa. ### 3. Pós-execução Os resultados são correlacionados com bancos de dados de CVEs conhecidos para identificar versões vulneráveis. Serviços críticos (SQL Server, RDP sem NLA, SMBv1) tornam-se alvos prioritários para exploração. O mapa de serviços orienta a seleção de técnicas de movimento lateral - por exemplo, [[t1021-remote-services|Remote Services]] via RDP ou SMB. Dados coletados são frequentemente exfiltrados para o C2 para planejamento offline do próximo estágio do ataque. ## Detecção **Event IDs relevantes (Windows):** | Event ID | Canal | Descrição | |----------|-------|-----------| | 5156 | Security | Windows Filtering Platform - conexão de rede permitida (varredura de portas) | | 5157 | Security | Windows Filtering Platform - conexão bloqueada (tentativas em série) | | 4688 | Security | Processo criado - nmap.exe, NBTscan.exe, net.exe com parâmetros de rede | | 7045 | System | Novo serviço instalado (instalação de scanner como serviço) | | 1 | Sysmon | Criação de processo com linha de comando suspeita (nmap, masscan, arp-scan) | | 3 | Sysmon | Conexão de rede - múltiplas portas distintas para múltiplos hosts em intervalo curto | **Regra Sigma:** ```yaml title: Varredura de Portas - Network Service Discovery (T1046) id: a7c3e2f1-4b8d-4e9a-b123-dc456ef78901 status: experimental description: > Detecta varredura ativa de portas indicativa de T1046 - Network Service Discovery. Múltiplas conexões de saída para hosts distintos em intervalo curto caracterizam atividade de reconhecimento interno. references: - T1046 author: RunkIntel daté: 2026-03-24 tags: - attack.discovery - attack.t1046 logsource: category: network_connection product: windows service: sysmon detection: selection: EventID: 3 Initiated: 'true' timeframe: 30s condition: selection | count(DestinationIp) by SourceIp > 20 fields: - SourceIp - DestinationIp - DestinationPort - Image falsepositives: - Scanners de vulnerabilidade corporativos (Nessus, Qualys) - Ferramentas de inventário de rede (Lansweeper, PRTG) - Administradores executando diagnósticos de rede level: medium ``` ## Mitigação | Controle | Mitigação MITRE | Recomendação Prática para Organizações Brasileiras | |----------|----------------|---------------------------------------------------| | Segmentação de rede | [[m1030-network-segmentation\|M1030 - Network Segmentation]] | Implementar microssegmentação entre VLANs de produção, administrativo e OT. Impede que um host comprometido enxergue toda a rede. Fundamental em bancos e utilities reguladas pela ANATEL/ANEEL. | | Prevenção por intrusão | [[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]] | Deploy de IPS/IDS (Snort, Suricata) com assinaturas para varredura SYN em série. Configurar raté-limiting de conexões TCP por fonte no firewall. | | Remoção de serviços desnecessários | [[m1042-disable-or-remove-feature-or-program\|M1042 - Disable or Remove Feature or Program]] | Desabilitar SMBv1, Telnet, FTP e outros protocolos legados. Aplicar CIS Benchmarks nos sistemas Windows e Linux. Reduz a superfície de ataque descobrível. | | Monitoramento de tráfego leste-oeste | Complementar | Implementar NetFlow/IPFIX para detectar padrões de varredura interna. Ferramentas como Zeek (Bro) ou Darktrace identificam comportamento anômalo de descoberta. | | Deception technology | Complementar | Honeypots e honeytokens em portas/serviços comuns (RDP 3389, SMB 445). Qualquer acesso a esses serviços isca é sinal imediato de reconhecimento ativo. | ## Threat Actors - [[g1017-volt-typhoon|Volt Typhoon]] - APT patrocinado pela China focado em infraestrutura crítica americana e parceiros de aliança. Utiliza T1046 com ferramentas LOLBins (`netsh`, `ipconfig`) para manter perfil baixo. Documentado em redes de energia, água e telecomúnicações. - [[g0087-apt39|APT39]] - Grupo iraniano especializado em espionagem e rastreamento de dissidentes. Usa T1046 na fase de descoberta interna de redes de telecomúnicações - relevante para operadoras LATAM. - [[g0098-blacktech|BlackTech]] - APT chinês com histórico de comprometimento de roteadores Cisco para realizar varreduras sem gerar logs no endpoint. Altamente evasivo. - [[g1043-blackbyte|BlackByte]] - Ransomware-as-a-Service que realiza varredura de serviços antes da fase de criptografia para identificar servidores de backup e sistemas de DR. - [[g0045-apt10|menuPass]] - APT10, grupo chinês responsável pela campanha Cloud Hopper. Utilizou T1046 extensivamente para mapear redes de MSPs comprometidos e seus clientes. - [[g1016-fin13|FIN13]] - Grupo financeiramente motivado com operações confirmadas no Brasil e México. Especializado em comprometer redes de varejo e serviços financeiros, realizando descobertas de serviços de PDV e autorizadoras de cartão. - [[g0105-darkvishnya|DarkVishnya]] - Grupo focado em bancos da Europa Oriental. Técnica de acesso físico + varredura interna. Relevante como modelo para ataques ao sistema financeiro nacional. - [[g0129-mustang-panda|Mustang Panda]] - APT chinês com campanhas na América Latina, incluindo alvos governamentais. Usa PlugX com capacidades de descoberta de rede embutidas. - [[g1030-agrius|Agrius]] - Grupo iraniano destrutivo (wiper). Realiza T1046 para identificar sistemas críticos antes de implantação de wipers. - [[g0027-threat-group-3390|Threat Group-3390]] - APT chinês (Emissary Panda). Explora serviços web vulneráveis descobertos via T1046 para estabelecer acesso inicial em múltiplos hosts. ## Software Associado - [[s0192-pupy|Pupy]] - RAT open-source multiplataforma com módulo de descoberta de rede integrado. Usado por múltiplos grupos APT. Executa varreduras via Python sem necessitar de binários externos. - [[s0363-empire|Empire]] - Framework de pós-exploração PowerShell/Python. Módulo `portscan` realiza T1046 diretamente da memória, sem tocar disco. - [[s0590-nbtscan|NBTscan]] - Ferramenta legítima de inventário NetBIOS frequentemente trazida por atacantes para varredura de compartilhamentos Windows em redes internas. - [[s0604-industroyer|Industroyer]] - Malware destrutivo ICS/SCADA. Componente de descoberta mapeia dispositivos industriais (protocolos IEC 101/104, IEC 61850) antes de ataque. - [[s0089-blackenergy|BlackEnergy]] - Malware russo usado em ataques à rede elétrica ucraniana. Realiza varredura de dispositivos SCADA e sistemas de controle industrial. - [[s1073-royal-blacksuit|Royal]] - Ransomware que utiliza varredura de rede para identificar compartilhamentos SMB, sistemas de backup e NAS antes da fase de criptografia. - [[s0458-ramsay|Ramsay]] - Malware focado em redes air-gapped. Realiza descoberta de serviços em redes isoladas físicamente para mapear vetores de exfiltração. - [[s0601-hildegard|Hildegard]] - Malware direcionado a clusters Kubernetes. Realiza descoberta de serviços internos do cluster (etcd, API server, kubelet). - [[s0374-speakup|SpeakUp]] - Backdoor Linux que executa varreduras internas para propagação lateral em servidores web comprometidos. - [[s0093-backdooroldrea|Backdoor.Oldrea]] - Malware Dragonfly/Energetic Bear. Coleta informações de rede para identificar sistemas ICS/SCADA em redes de energia. --- *Fonte: [MITRE ATT&CK - T1046](https://attack.mitre.org/techniques/T1046)*