t1120-peripheral-device-discovery

# T1120 - Peripheral Device Discovery ## Descrição A técnica T1120 descreve como adversários enumeraram dispositivos periféricos conectados a um sistema comprometido para ampliar seu entendimento do ambiente-alvo. Periféricos de interesse incluem unidades de armazenamento removível (pendrives, HDs externos), leitores de cartão inteligente (smartcard), câmeras, impressoras, dispositivos Bluetooth, interfaces seriais e qualquer hardware USB conectado. Essa enumeração é geralmente silenciosa e utiliza chamadas de API nativas do sistema operacional ou utilitários já presentes na máquina, sem necessidade de ferramentas externas. A motivação por trás do T1120 varia conforme o perfil do ator: grupos de espionagem como [[g0007-apt28|APT28]] e [[g0010-turla|Turla]] buscam identificar smartcard readers usados em autenticação de dois fatores de alta segurança, ou dispositivos de armazenamento removível que possam conter documentos classificados copiados offline. Grupos focados em roubo de dados como [[g0049-oilrig|OilRig]] e [[g0135-backdoordiplomacy|BackdoorDiplomacy]] usam a enumeração para detectar drives externos onde possam exfiltrar dados de forma discreta, especialmente em redes com DLP (Data Loss Prevention) que monitoram tráfego de rede. O [[g0020-equation-group|Equation Group]] - notoriamente associado a operações contra sistemas air-gapped - é pioneiro no uso sistemático de T1120 para identificar vetores de propagação via USB. Em Windows, a enumeração pode ser feita via `fsutil fsinfo drives`, `wmic lógicaldisk get`, `Get-PnpDevice` no PowerShell, ou diretamente pela API `SetupDiGetClassDevs`. Em Linux e macOS, comandos como `lsusb`, `lspci`, `ls /dev/sd*` e `system_profiler SPUSBDataType` fornecem informações detalhadas. Malwares como [[s0385-njrat|njRAT]] e [[s0283-jrat|jRAT]] - extremamente populares no Brasil - incluem módulos de enumeração de periféricos como funcionalidade padrão de reconhecimento. **Contexto Brasil/LATAM:** O Brasil apresenta contexto particular para T1120 devido ao uso intensivo de smartcard readers para autenticação com certificados digitais ICP-Brasil (e-CPF, e-CNPJ, NF-e). Servidores públicos, escritórios de contabilidade, escritórios de advocacia e empresas de médio porte utilizam leitores de smartcard diariamente para assinar documentos fiscais, o que torna esses dispositivos alvos de alto valor para grupos como [[g0049-oilrig|OilRig]] e [[g0047-gamaredon|Gamaredon Group]]. Adicionalmente, a prática de transferir documentos via pen drive em órgãos públicos - mesmo após a chegada de alternativas de nuvem - mantém dispositivos USB como vetor relevante de exfiltração e reconhecimento no cenário nacional. ## Attack Flow ```mermaid graph TB A([Acesso Inicial]) --> B([Estabelecer Persistência]) B --> C{T1120 - Descoberta de Periféricos}:::highlight C --> D([Identificar Vetores de Exfiltração]) D --> E([Exfiltração / Propagação]) classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b,stroke-width:2px ``` ## Como Funciona ### 1. Preparação Após obter execução no sistema-alvo, o adversário precisa mapear o ambiente antes de tomar ações mais ruidosas. A enumeração de periféricos é parte de uma fase mais ampla de reconhecimento local, frequentemente realizada junto a [[t1082-system-information-discovery|System Information Discovery]] e [[t1083-file-and-directory-discovery|File and Directory Discovery]]. O atacante verifica se existem dispositivos de armazenamento conectados, se há leitores de smartcard ativos e se câmeras ou microfones podem ser explorados. Esta etapa é quase sempre automatizada dentro do implante - o malware executa a enumeração na inicialização e envia o resultado ao C2. ### 2. Execução Em Windows, a enumeração é realizada via múltiplos métodos para aumentar a cobertura: ```powershell # PowerShell - lista todos os dispositivos Plug and Play Get-PnpDevice | Where-Object {$_.Status -eq "OK"} | Select-Object Class, FriendlyName # WMI - lista discos lógicos (inclui USB e drives de rede) wmic lógicaldisk get caption,description,drivetype,volumename # Linha de comando - drives disponíveis fsutil fsinfo drives # Registry - dispositivos USB já conectados (histórico) reg query HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR ``` Em Linux, comandos equivalentes incluem `lsusb -v`, `udevadm info --export-db` e leitura de `/proc/bus/usb/devices`. Em macOS, `ioreg -p IOUSB` e `system_profiler SPUSBDataType` produzem inventário detalhado de periféricos USB. ### 3. Pós-execução Com a lista de periféricos mapeada, o adversário toma decisões táticas: se há pen drive conectado, pode copiar dados para exfiltração offline ou plantar um implante que se propague via USB (técnica usada pelo [[g0020-equation-group|Equation Group]] contra sistemas air-gapped). Se há smartcard reader, malwares como [[s0538-crutch|Crutch]] do grupo [[g0010-turla|Turla]] podem interceptar PINs de certificados digitais. Se detecta câmera, grupos como [[g0067-apt37|APT37]] podem ativar captura de vídeo/áudio. O resultado da enumeração também é persistido no C2 para orientar operadores humanos sobre o valor do host comprometido. ## Detecção ### Event IDs Relevantes (Windows) | Event ID | Fonte | Descrição | |----------|-------|-----------| | 4688 | Security | Criação de processo - monitorar `wmic.exe` com argumento `lógicaldisk`, `fsutil.exe` | | 1 | Sysmon | Criação de processo com linha de comando; monitorar chamadas a `fsutil fsinfo drives` | | 13 | Sysmon | Acesso ao registro - `HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR` (histórico USB) | | 6416 | Security | Novo dispositivo de armazenamento reconhecido pelo sistema | | 4663 | Security | Acesso a objeto - tentativa de leitura de chaves USB no registro | ### Sigma Rule ```yaml title: T1120 - Peripheral Device Discovery via WMI and System Utilities id: a3f17e2b-8d4c-4a9f-b5e1-2c6f8d3a1b4e status: stable description: > Detecta enumeração de dispositivos periféricos usando utilitários nativos do Windows. Padrão observado em implantes de espionagem que buscam smartcard readers, drives USB e outros periféricos antes de exfiltração ou propagação. author: RunkIntel daté: 2026-03-24 references: - [[t1120-peripheral-device-discovery]] logsource: category: process_creation product: windows detection: selection_wmic: Image|endswith: '\wmic.exe' CommandLine|contains: - 'lógicaldisk' - 'usbhub' - 'usbcontroller' selection_fsutil: Image|endswith: '\fsutil.exe' CommandLine|contains: 'fsinfo drives' selection_powershell_pnp: Image|endswith: - '\powershell.exe' - '\pwsh.exe' CommandLine|contains: - 'Get-PnpDevice' - 'Get-WmiObject Win32_USBHub' - 'Win32_DiskDrive' selection_registry_usbstor: Image|endswith: - '\reg.exe' - '\regedit.exe' CommandLine|contains: 'USBSTOR' condition: 1 of selection_* falsepositives: - Software de inventário de hardware (Lansweeper, SCCM, SolarWinds) - Scripts de administração de TI legítimos - Ferramentas de auditoria de conformidade level: medium tags: - attack.discovery - attack.t1120 ``` ## Mitigação | Controle | Recomendação | Aplicabilidade para Organizações Brasileiras | |----------|--------------|----------------------------------------------| | Controle de dispositivos USB | Implementar política de bloqueio de USB via GPO ou solução de DLP (ex: Symantec DLP, Forcepoint) | Crítico para órgãos públicos e empresas que lidam com dados fiscais; a LGPD exige controles sobre exfiltração de dados pessoais | | Monitoramento de periféricos | Registrar todos os eventos de conexão de dispositivos (Event ID 6416); alertar para USBs não autorizados | Recomendado para ambientes com certificados ICP-Brasil - conexão inesperada de smartcard reader é sinal de alerta | | Inventário de ativos | Manter lista atualizada de dispositivos autorizados via Windows Defender Device Control ou software dedicado | Facilita detecção de anomalias; exigência crescente em auditorias de conformidade SOC 2 e ISO 27001 no Brasil | | Restrição de ferramentas de enumeração | Bloquear execução de `wmic.exe` e `fsutil.exe` para usuários sem necessidade legítima via AppLocker | Eficaz para reduzir superfície de ataque em estações de trabalho corporativas - impacto operacional baixo | | Segmentação e monitoramento de endpoints | Instalar EDR (CrowdStrike, SentinelOne, Microsoft Defender for Endpoint) com alertas para enumeração de hardware | Essencial para detectar implantes como [[s0385-njrat\|njRAT]] que realizam T1120 silenciosamente | ## Threat Actors que Usam - [[g0020-equation-group|Equation]] - grupo pioneiro no uso de T1120 para identificar hosts com acesso a sistemas air-gapped; desenvolveu implantes que se propagam via USB baseando-se nessa enumeração - [[g0067-apt37|APT37]] - grupo norte-coreano que usa T1120 para identificar câmeras e microfones em alvos de alto valor, habilitando vigilância de executivos e diplomatas - [[g0007-apt28|APT28]] - grupo russo (GRU) que enumera smartcard readers como precursor de ataques a autenticação de dois fatores em alvos governamentais e militares - [[g0010-turla|Turla]] - grupo FSB russo com técnicas avançadas de enumeração de USB; desenvolveu [[s0538-crutch|Crutch]] específicamente para operar via drives removíveis em redes governamentais - [[g0049-oilrig|OilRig]] - grupo iraniano que usa T1120 para mapear drives disponíveis antes de exfiltração de documentos confidenciais de ministérios e empresas de energia - [[g0139-teamtnt|TeamTNT]] - grupo de cryptomining/espionagem que enumera periféricos em ambientes de nuvem e contêineres para identificar vetores de persistência - [[g1017-volt-typhoon|Volt Typhoon]] - grupo chinês focado em infraestrutura crítica; usa T1120 para identificar interfaces seriais e industriais em ambientes OT/ICS - [[g0047-gamaredon|Gamaredon Group]] - grupo ucraniano pró-russo que implanta worms USB após enumeração de drives - particularmente relevante para ataques a órgãos governamentais - [[g0135-backdoordiplomacy|BackdoorDiplomacy]] - grupo que ataca embaixadas e ministérios de relações exteriores; T1120 é usado para identificar smartcards diplomáticos e drives de transferência de documentos classificados ## Software Associado - [[s1139-inc-ransomware|INC Ransomware]] - enumera periféricos para mapear drives de backup conectados antes da fase de cifragem - [[s0283-jrat|jRAT]] - RAT de origem brasileira muito usado no Brasil; inclui módulo nativo de enumeração de drives e dispositivos USB como funcionalidade padrão - [[s0538-crutch|Crutch]] - backdoor do [[g0010-turla|Turla]] desenvolvido específicamente para operar em ambientes com restrição de rede, usando drives USB como canal de exfiltração - [[s1044-funnydream|FunnyDream]] - implante APT chinês com capacidade de enumeração de periféricos e propagação via USB - [[s1149-chimneysweep|CHIMNEYSWEEP]] - malware de vigilância que usa T1120 para identificar e ativar câmeras e microfones em sistemas comprometidos - [[s0385-njrat|njRAT]] - RAT extremamente prevalente no Brasil e LATAM; enumera drives e periféricos como parte do reconhecimento inicial automático - [[s1026-mongall|Mongall]] - loader que usa enumeração de periféricos para decidir entre diferentes payloads baseado no ambiente detectado - [[s0113-prikormka|Prikormka]] - malware do grupo Gamaredon com módulo de monitoramento de inserção de dispositivos USB para automatizar exfiltração - [[wannacry|WannaCry]] - worm que enumera drives de rede e locais conectados para maximizar o alcance da cifragem - [[s0251-zebrocy|Zebrocy]] - downloader do [[g0007-apt28|APT28]] que realiza enumeração completa de hardware como parte do perfil inicial do sistema comprometido --- *Fonte: [MITRE ATT&CK - T1120](https://attack.mitre.org/techniques/T1120)*