t1049-system-network-connections-discovery

# T1049 - System Network Connections Discovery ## Descrição T1049 - System Network Connections Discovery descreve o comportamento pelo qual um adversário, após comprometer um sistema, enumera as conexões de rede ativas ou recentes daquele host - tanto conexões de entrada quanto de saída. O objetivo é construir um mapa da topologia de rede local: quais outros sistemas estão se comúnicando com a máquina comprometida, quais portas estão abertas, quais serviços estão escutando e quais usuários estão ativos em sessões remotas. Esse mapeamento é essencial para planejar [[t1021-remote-services|movimento lateral]], identificar sistemas de alto valor na rede e descobrir servidores de segurança ou monitoramento a serem evitados. Em sistemas Windows, os comandos mais comuns são `netstat -ano` (conexões com PID associado), `net use` (compartilhamentos mapeados) e `net session` (sessões SMB ativas). Em Linux e macOS, `netstat`, `ss` e `lsof -i` revelam conexões ativas, enquanto `who -a` e `w` mostram usuários logados em sessões remotas. Em dispositivos de rede (roteadores, switches), o adversário pode usar comandos nativos da [[t1059-008-network-device-cli|Network Device CLI]] como `show ip sockets` e `show tcp brief` (Cisco IOS). Em servidores ESXi, `esxcli network ip connection list` fornece a lista de conexões ativas no hypervisor. Ambientes de nuvem IaaS podem ser mapeados via `aws ec2 describe-network-interfaces` ou ferramentas equivalentes. **Contexto Brasil/LATAM:** Grupos de ameaça persistente como [[g0082-apt38|APT38]] (Lazarus) e [[g0033-poseidon-group|Poseidon Group]] - este último com operações documentadas contra alvos brasileiros - utilizam enumeração de conexões de rede como etapa crítica de reconhecimento pós-comprometimento. Em organizações financeiras brasileiras, o mapeamento de conexões permite ao adversário identificar servidores SWIFT, sistemas de compensação bancária (STR/SILOC) e gateways de pagamento PIX. Operadores de [[s0638-babuk|Babuk]] ransomware e afiliados de grupos de [[lockbit|LockBit]] também documentadamente executam T1049 para localizar servidores de backup antes de iniciar a criptografia. ## Attack Flow ```mermaid graph TB A([Acesso Inicial]) --> B([Reconhecimento do Host]) B --> C[**T1049 - Network Connections Discovery**]:::highlight C --> D([Mapeamento da Topologia Interna]) D --> E([Movimento Lateral / Ataque a Sistemas Adjacentes]) classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b,stroke-width:2px ``` ## Como Funciona ### 1. Preparação O adversário já possui um shell ou implante no sistema comprometido. Nessa fase inicial de reconhecimento interno, o objetivo é responder a perguntas fundamentais: "Com quem este host está se comúnicando?", "Quais portas estão abertas?", "Há sessões administrativas ativas que eu possa sequestrar?". O adversário geralmente utiliza ferramentas nativas do sistema operacional (living-off-the-land) para minimizar a chance de detecção por soluções de segurança que monitoram a execução de ferramentas de terceiros. ### 2. Execução Dependendo da plataforma e do objetivo, o adversário executa uma combinação dos seguintes comandos: **Windows:** ```cmd netstat -ano # Conexões ativas com PID - identifica processos que comúnicam externamente net use # Compartilhamentos de rede mapeados - revela servidores acessíveis net session # Sessões SMB ativas - identifica administradores conectados ``` **Linux / macOS:** ```bash netstat -tunap # Conexões TCP/UDP com PID ss -tunap # Alternativa moderna ao netstat lsof -i # Arquivos de rede abertos - inclui sockets who -a && w # Usuários logados e sessões remotas ativas ``` **Network Devices (Cisco IOS):** ``` show ip sockets show tcp brief show users ``` **ESXi:** ```bash esxcli network ip connection list ``` Os resultados são frequentemente exfiltrados para o C2 ou armazenados temporariamente em `%TEMP%` / `/tmp` para coleta posterior. ### 3. Pós-execução Com o mapa de conectividade em mãos, o adversário identifica os próximos alvos para movimento lateral: servidores com múltiplas conexões de entrada (provavelmente servidores de aplicação ou banco de dados), hosts com sessões administrativas ativas (potencial para sequestro de credenciais), e sistemas sem conexões de rede suspeitas (potenciais alvos de backup ou segurança). A técnica alimenta diretamente o planejamento de [[t1021-remote-services|Remote Services]], [[t1078-valid-accounts|Valid Accounts]] e ataques a sistemas críticos adjacentes. ## Detecção ### Event IDs Relevantes | Plataforma | Event ID / Fonte | Descrição | |-----------|-----------------|-----------| | Windows | 4688 (Security) | Criação de processo - monitorar `netstat.exe`, `net.exe` com args `use` / `session` | | Windows | Sysmon Event 1 | Criação de processo com linha de comando completa | | Windows | Sysmon Event 3 | Conexões de rede iniciadas pelo processo de enumeração | | Linux | auditd syscall | Chamadas `socket`, `connect`, `getpeername` por processos não-esperados | | Network Devices | Syslog (SNMP traps) | Comandos administrativos executados fora de jánelas de manutenção | ### Sigma Rule ```yaml title: System Network Connections Discovery via Native Tools id: f7e8d9c0-b1a2-3456-7890-abcdef012345 status: experimental description: > Detecta enumeração de conexões de rede via ferramentas nativas do Windows - netstat, net use, net session - em contextos suspeitos (processo pai não-interativo, horário fora do padrão). Mapeado para T1049 (System Network Connections Discovery). references: - T1049 author: RunkIntel daté: 2026-03-24 tags: - attack.discovery - attack.t1049 logsource: category: process_creation product: windows detection: selection_netstat: Image|endswith: '\netstat.exe' CommandLine|contains: - '-ano' - '-an' - '-n' selection_net: Image|endswith: '\net.exe' CommandLine|contains: - 'use' - 'session' selection_net1: Image|endswith: '\net1.exe' CommandLine|contains: - 'use' - 'session' filter_interactive: ParentImage|endswith: - '\cmd.exe' - '\powershell.exe' # Sessões interativas são menos suspeitas - foco em processos pai não-interativos condition: (selection_netstat or selection_net or selection_net1) and not filter_interactive falsepositives: - Scripts de monitoramento de rede (Zabbix, Nagios, SolarWinds) - Scripts de auditoria de segurança - Ferramentas de helpdesk legítimas level: medium ``` ## Mitigação | Controle | Ação Recomendada | Prioridade | |---------|-----------------|-----------| | Monitoramento de processos | Criar alertas para execução de `netstat -ano`, `net session` e `net use` por processos com parentesco suspeito (ex: `svchost.exe` → `netstat.exe`) | Alta | | Segmentação de rede | Implementar micro-segmentação interna para limitar quais hosts podem se conectar a quais - reduz a utilidade do mapeamento | Alta | | Firewall de host | Habilitar Windows Firewall com log de conexões - detectar padrões de enumeração via análise de flow | Média | | Desabilitar Net Session | Em estações de trabalho, desabilitar o serviço `LanmanServer` ou restringir `net session` via GPO | Média | | UEBA / Behavioral Analytics | Criar linha de base para uso de `netstat` e `net` por usuário/host - alertar para desvios (ex: servidor de banco de dados executando netstat às 2h) | Alta | | NDR (Network Detection) | Correlacionar enumeração de conexões com tráfego subsequente anômalo para sistemas não previamente comúnicantes | Alta | | Monitoramento de dispositivos de rede | Configurar SIEM para alertar para execução de `show` commands em horários fora de manutenção em roteadores/switches | Média | ## Threat Actors Esta técnica é amplamente utilizada por grupos com relevância direta para o contexto brasileiro e latino-americano: - [[g0082-apt38|APT38]] - braço financeiro do [[g0032-lazarus-group|Lazarus Group]]; usa enumeração de conexões para mapear infraestrutura bancária antes de ataques ao sistema SWIFT - com operações documentadas contra bancos em múltiplos países, incluindo o Brasil - [[g0033-poseidon-group|Poseidon Group]] - APT com operações confirmadas no Brasil; usa T1049 como parte do reconhecimento em redes corporativas brasileiras para identificar servidores de alto valor - [[g0139-teamtnt|TeamTNT]] - especializado em ambientes cloud; enumera conexões para descobrir outros containers e serviços Kubernetes acessíveis a partir do host comprometido - [[g0138-andariel|Andariel]] - subgrupo do Lazarus focado em reconhecimento; usa enumeração de rede sistematicamente antes de movimento lateral - [[g0010-turla|Turla]] - APT russo com histórico de operações sofisticadas; usa T1049 para mapear topologia antes de instalar implantes em múltiplos hosts - [[g1017-volt-typhoon|Volt Typhoon]] - APT chinês focado em infraestrutura crítica; exemplar no uso de living-off-the-land, usando apenas ferramentas nativas como `netstat` para enumeração - [[g0129-mustang-panda|Mustang Panda]] - APT chinês ativo em LATAM; usa enumeração para identificar sistemas governamentais e diplomáticos conectados - [[g0022-apt3|APT3]] - grupo chinês; usa `net session` e `net use` como parte do reconhecimento pós-comprometimento - [[g0030-raspberry-typhoon|Lotus Blossom]] - APT com foco em governos asiáticos; usa enumeração de conexões para identificar redes internas corporativas - [[g0045-apt10|menuPass]] - APT chinês (APT10); usa T1049 em operações de espionagem industrial para mapear redes de fornecedores e parceiros ## Software Associado - [[s0532-lucifer|Lucifer]] - malware de cryptomining e DDoS que enumera conexões de rede para identificar outros hosts vulneráveis na rede local - [[s0094-trojankaragany|Trojan.Karagany]] - RAT de espionagem que coleta inventário de conexões de rede como parte do reconhecimento inicial do ambiente - [[s0638-babuk|Babuk]] - ransomware que enumera conexões e shares de rede antes de iniciar criptografia de volumes compartilhados - [[s0445-shimratreporter|ShimRatReporter]] - ferramenta de reconhecimento que coleta informações detalhadas de rede, incluindo conexões ativas e configurações de adaptadores - [[s0251-zebrocy|Zebrocy]] - malware do grupo Sofacy/APT28; coleta metadados de rede como parte do perfil inicial do sistema comprometido - [[s0378-poshc2|PoshC2]] - framework de C2 open-source frequentemente abusado por atacantes; possui módulo nativo de enumeração de conexões de rede - [[s0125-remsec|Remsec]] - malware do grupo Strider; inclui módulo de descoberta de rede com enumeração de conexões e hosts alcançáveis - [[s0237-gravityrat|GravityRAT]] - RAT com foco em India e LATAM; coleta informações de rede como parte do fingerprinting do sistema - [[s0104-netstat|netstat]] - ferramenta nativa do SO utilizada diretamente por adversários via living-off-the-land - [[konni|KONNI]] - RAT norte-coreano que coleta listagem de conexões de rede como parte do reconhecimento inicial --- *Fonte: [MITRE ATT&CK - T1049](https://attack.mitre.org/techniques/T1049)*