# T1082 - System Information Discovery ## Descrição System Information Discovery é a técnica de reconhecimento interno pela qual um adversário, após comprometer uma máquina, coleta informações detalhadas sobre o sistema operacional, hardware e configuração do ambiente. Versão do SO, arquitetura (32 ou 64 bits), patches instalados, hotfixes pendentes, nome do computador, domínio Active Directory - todas essas informações são valiosas para o atacante decidir como prosseguir. O objetivo não é apenas curiosidade: é otimização do ataque. Com as informações do sistema em mãos, o atacante pode tomar decisões críticas: qual exploit usar com base na versão do SO e patches ausentes, se vale a pena continuar o comprometimento (a máquina é um alvo de alto valor ou apenas um endpoint comum?), qual payload de segunda fase é compatível com a arquitetura, e se há ferramentas de segurança instaladas que precisam ser contornadas. No Windows, `systeminfo` e `ver` são os comandos mais comuns. No Linux, `uname -a`, `cat /etc/os-release` e `lscpu` servem ao mesmo propósito. Em macOS, `system_profiler` e `sw_vers` entregam informações equivalentes. Em ambientes cloud (AWS, Azure, GCP), as informações do sistema ficam expostas via APIs de metadados - o endpoint `http://169.254.169.254/latest/meta-data/` da AWS, por exemplo, retorna informações sobre a instância sem autenticação adicional. Em dispositivos de rede, o comando `show version` entrega versão do firmware, modelo do hardware e configuração ativa. Em servidores ESXi, utilitários como `esxcli system hostname get` e `esxcli system version get` fornecem dados equivalentes. Essa técnica frequentemente precede [[t1069-permission-groups-discovery|Permission Groups Discovery]] e [[t1057-process-discovery|Process Discovery]], compondo o reconhecimento interno completo. **Contexto Brasil/LATAM:** No Brasil, o T1082 é especialmente relevante no contexto de ataques ao setor financeiro e governo. O grupo [[g1016-fin13|FIN13]], que opera extensivamente no México e outros países da LATAM, usa T1082 como parte de seu processo de reconhecimento interno para identificar sistemas de pagamento e caixas eletrônicos. O [[g0096-apt41|APT41]] (chinês, motivação dupla: espionagem e crime) também foi documentado usando T1082 em campanhas contra empresas de tecnologia brasileiras para mapear ambientes antes de implantar ransomware ou ferramentas de espionagem. Grupos de ransomware como [[g1043-blackbyte|BlackByte]] usam a técnica para identificar versões de SO vulneráveis a escalação de privilégio antes do deploy do encriptador. Recomendações práticas para organizações brasileiras: - **Least privilege:** Restringir acesso a `wmic`, `systeminfo` e `PowerShell` para usuários sem necessidade de negócio via AppLocker ou Windows Defender Application Control - **Monitoramento de sequência:** Configurar SIEM para alertar sobre burst de comandos de discovery (mais de 3 comandos de reconhecimento em 60 segundos no mesmo host) - **Cloud metadata protection:** Na AWS, usar Instance Metadata Service v2 (IMDSv2) que exige token de sessão - impede acesso ao endpoint de metadados via SSRF - **EDR behavioral rules:** Criar regras para detectar sequência: `documento Office → cmd.exe → systeminfo.exe` ou `macro → powershell → Get-ComputerInfo` ## Attack Flow ```mermaid graph TB A["T1566<br/>Acesso Inicial<br/>(Phishing/Exploit)"] --> B["T1059<br/>Execução<br/>(Shell/Script)"] B --> C["T1082<br/>System Information<br/>Discovery"]:::highlight C --> D["T1069<br/>Permission Groups<br/>Discovery"] C --> E["T1068<br/>Escalação de<br/>Privilégio"] classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona 1. **Preparação e contexto:** Logo após obter execução na máquina-alvo, o atacante precisa entender onde está. Antes de executar qualquer ferramenta adicional, o reconhecimento do sistema é a primeira etapa - determinar se está em um sandbox (análise de malware), em uma VM (possível honeypot) ou em um sistema real de produção. Verificações de hostname, uptime, número de processadores e RAM total são indicadores usados para detectar ambientes de análise. 2. **Coleta de informações:** Usando binários nativos do sistema, o adversário executa comandos como `systeminfo` (Windows), `uname -a` e `cat /proc/version` (Linux), ou `system_profiler SPSoftwareDataType` (macOS) para coletar versão do SO, arquitetura, patches instalados e nome do domínio. Em ambientes cloud, uma requisição GET para o endpoint de metadados da instância retorna informações de infraestrutura sem credenciais adicionais. Ferramentas como [[s0266-trickbot|TrickBot]] e [[darkgaté|DarkGaté]] automatizam essa coleta logo após a infecção. 3. **Uso das informações:** Com os dados do sistema, o atacante decide o caminho mais eficiente: explorar uma vulnerabilidade de escalação de privilégio específica para a versão do SO encontrada, usar [[t1105-ingress-tool-transfer|Ingress Tool Transfer]] para baixar um payload adequado à arquitetura, ou abandonar o host (se detectar sandbox ou baixo valor estratégico). As informações também alimentam o planejamento de [[t1071-001-web-protocols|comunicação C2]] e o direcionamento do ataque. ## Detecção **Fontes de dados:** - **Windows Event Log 4688** - Criação de processos: monitorar `systeminfo.exe`, `ver`, `hostname`, `ipconfig` executados em sequência rápida (burst de reconhecimento) - **Sysmon Event ID 1** - Linha de comando de processos: `systeminfo`, `wmic os get`, `wmic computersystem get`, `Get-ComputerInfo` via PowerShell - **Linux auditd** - Regras de auditoria para `execve` com binários como `uname`, `hostnamectl`, `lshw`, `dmidecode` - **EDR behavioral** - Sequência anômala de comandos de descoberta executados por processo filho de documento Office ou processo de negócios - **Cloud trail logs** - Requisições não autorizadas ao endpoint de metadados da instância (AWS: `169.254.169.254`, Azure: `169.254.169.254/metadata`) - **SIEM correlation** - Alertar quando 3 ou mais comandos de discovery são executados dentro de 60 segundos no mesmo host **Sigma Rule:** ```yaml title: System Information Discovery via Native Utilities id: b7d2e9f4-3a6c-4e8d-9b1f-5c8a2e4b7d3f status: experimental description: > Detecta execução de múltiplos comandos de coleta de informações do sistema em sequência - indicativo de reconhecimento pós-comprometimento (T1082) logsource: category: process_creation product: windows detection: selection: Image|endswith: - '\systeminfo.exe' - '\hostname.exe' - '\ipconfig.exe' - '\net.exe' - '\whoami.exe' - '\wmic.exe' CommandLine|contains: - 'os get' - 'computersystem get' - 'cpu get' - 'bios get' selection_powershell: Image|endswith: - '\powershell.exe' - '\pwsh.exe' CommandLine|contains: - 'Get-ComputerInfo' - 'Get-WmiObject Win32_OperatingSystem' - 'Get-WmiObject Win32_ComputerSystem' - '[System.Environment]::OSVersion' condition: 1 of selection* falsepositives: - Scripts de inventário de ativos corporativos (SCCM, Ansible, Chef) - Agentes de monitoramento de endpoint (Zabbix, Datadog) - Help desk remoto executando diagnósticos level: low tags: - attack.discovery - attack.t1082 ``` ## Mitigação > **Nota:** O MITRE ATT&CK não lista mitigações específicas para T1082, pois os comandos usados são utilitários nativos legítimos do sistema operacional - bloqueá-los comprometeria a operação normal. A defesa mais eficaz é a **detecção comportamental**: identificar o contexto e a sequência em que esses comandos são executados, não os comandos em si. ## Threat Actors Os seguintes grupos são conhecidos por usar T1082 em suas operações de reconhecimento: - [[g0124-windigo|Windigo]] - operação de longa duração que comprometeu milhares de servidores Linux; usa T1082 para identificar servidores de alto valor - [[g1043-blackbyte|BlackByte]] - ransomware com ocorrências documentadas no Brasil; usa T1082 para identificar versões de SO vulneráveis antes do deploy do encriptador - [[g0049-oilrig|OilRig]] - APT iraniano; usa T1082 extensivamente em campanhas de espionagem para mapear redes de governo e energia - [[g0128-zirconium|ZIRCONIUM]] - APT chinês (APT31); usa T1082 em campanhas de espionagem contra governo e setor de defesa - [[g0096-apt41|APT41]] - APT chinês com operações de espionagem e crime financeiro; documentado em campanhas no Brasil e LATAM - [[g0108-blue-mockingbird|Blue Mockingbird]] - grupo de cryptomining; usa T1082 para verificar recursos de CPU disponíveis antes de instalar miners - [[g1001-hexane|HEXANE]] - APT iraniano focado em telecomúnicações e petróleo; usa T1082 para mapear infraestrutura de ICS/SCADA - [[g0012-darkhotel|Darkhotel]] - APT coreano; usa T1082 para perfilar alvos de alto valor em redes de hotéis e aeroportos - [[g1018-ta2541|TA2541]] - grupo de cibercrime com foco em aviação e transporte; usa T1082 para reconhecimento em operações de acesso inicial - [[g1016-fin13|FIN13]] - grupo financeiro com operações extensivas no México e LATAM; usa T1082 para identificar sistemas de POS e caixas eletrônicos ## Software Associado - [[s0339-micropsia|Micropsia]] (malware) - RAT que coleta informações do sistema logo após infecção para enviar ao operador - [[s0385-njrat|njRAT]] (malware) - RAT amplamente usado no Brasil; coleta informações do SO, hostname e username como primeiro passo - [[darkgaté|DarkGaté]] (malware) - loader/backdoor que realiza T1082 para decidir qual payload final entregar - [[s1249-hexeval-loader|HexEval Loader]] (malware) - loader que usa T1082 para verificar ambiente antes de executar payload principal - [[s1245-invisibleferret|InvisibleFerret]] (malware) - backdoor Python norte-coreano que coleta informações do sistema para exfiltração - [[s0266-trickbot|TrickBot]] (malware) - banking trojan com módulo dedicado de reconhecimento do sistema (systeminfo module) - [[s0553-molenet|MoleNet]] (malware) - downloader que coleta informações do SO para seleção de payload adequado - [[s0388-yahoyah|YAHOYAH]] (malware) - trojan que usa T1082 para coletar informações antes de decidir se vai prosseguir com o comprometimento - [[s0464-syscon|SYSCON]] (malware) - backdoor que usa FTP como C2 e coleta informações do sistema como parte do beacon inicial - [[s0130-unknown-logger|Unknown Logger]] (malware) - keylogger que inclui coleta de system info para contextualizar as capturas de teclado --- *Fonte: [MITRE ATT&CK - T1082](https://attack.mitre.org/techniques/T1082)*