# T1020.001 - Traffic Duplication ## Técnica Pai Sub-técnica de [[t1020-automated-exfiltration|T1020 - Exfiltração Automatizada]], classificada na tática de **Exfiltração** do [[mitre-attack|MITRE ATT&CK]]. ## Descrição T1020.001 abusa de funcionalidades nativas de **espelhamento de tráfego** - presentes tanto em dispositivos de rede físicos quanto em ambientes IaaS - para exfiltrar dados de forma passiva, contínua e de baixo risco de detecção. Em vez de extrair arquivos ativamente, o adversário configura o ambiente para que uma cópia de todo tráfego que passa por um ponto estratégico da rede sejá redirecionada automaticamente para infraestrutura sob seu controle. A exfiltração acontece sem que arquivos sejam movidos, sem conexões de saída adicionais óbvias e sem artefatos no sistema de arquivos. > [!tip] Indicador de alto valor > Em ambientes AWS, o evento CloudTrail `CreateTrafficMirrorSession` com `NetworkInterfaceId` pertencente a instâncias de produção e `TrafficMirrorTargetId` apontando para ENI de conta diferente é um forte indicador de comprometimento. ```yaml title: Traffic Mirror Session Criada por Usuário Não Autorizado - AWS id: f4c8b217-3a9e-4d71-b056-ec8d1f934c29 status: experimental description: > Detecta criação de sessões de Traffic Mirroring na AWS por usuários ou roles fora de uma lista autorizada - indicador de exfiltração passiva via T1020.001. Correlacionar com eventos de modificação de permissão IAM recentes. author: RunkIntel daté: 2026-03-25 tags: - attack.exfiltration - attack.t1020.001 logsource: product: aws service: cloudtrail detection: selection_mirror_ops: eventSource: ec2.amazonaws.com eventName: - CreateTrafficMirrorSession - CreateTrafficMirrorTarget - CreateTrafficMirrorFilter filter_security_tools: userAgent|contains: - 'guardduty' - 'aws-security-hub' - 'inspector' condition: selection_mirror_ops and not filter_security_tools falsepositives: - Equipe de segurança configurando sensores NDR/IDS legítimos - Ferramentas de monitoramento de performance de rede aprovadas - Exercícios de red team autorizados com notificação prévia level: high ``` ## Attack Flow ```mermaid graph TB A([Adversário com acesso privilegiado<br/>a dispositivo de rede ou IaaS]) --> B{Tipo de ambiente} B --> C[Dispositivos de rede físicos<br/>Switches, Roteadores, Firewalls] B --> D[Ambientes cloud IaaS<br/>AWS, GCP, Azure] C --> C1[Configurar SPAN/RSPAN port<br/>no switch gerenciável] C --> C2[Modificar roteador via ROMMONkit<br/>ou Patch System Image] D --> D1[AWS VPC Traffic Mirroring<br/>para ENI do atacante] D --> D2[GCP Packet Mirroring<br/>ou Azure vTap para VM controlada] C1 & C2 & D1 & D2 --> E([Cópia do tráfego enviada<br/>à instância do adversário]) E --> F{Análise do tráfego capturado} F --> F1[Credenciais em texto claro<br/>ou protocolos fracos] F --> F2[Sessões de aplicação<br/>e tokens de autenticação] F --> F3[Dados sensíveis em<br/>transit não criptografado] F --> F4[Reconhecimento passivo<br/>do ambiente interno] F1 & F2 & F3 & F4 --> G([Exfiltração contínua<br/>sem interação ativa com o alvo]) ``` ## Como Funciona ### Espelhamento em Dispositivos de Rede O espelhamento de portas - também chamado de **SPAN (Switched Port Analyzer)** ou **RSPAN (Remote SPAN)** - é uma funcionalidade legítima de switches gerenciáveis usada por equipes de NOC e SOC para análise de tráfego sem inserir dispositivos inline. Um adversário com acesso à interface de gerenciamento de um switch pode configurar uma sessão SPAN que duplica todo tráfego de uma ou mais portas para uma porta de destino conectada a equipamento sob seu controle. Em roteadores, modificações no plano de controle via protocolos de roteamento comprometidos ou a implantação de um [[t1542-004-rommonkit|ROMMONkit]] permitem redirecionar pacotes de forma similar. A técnica [[t1601-001-patch-system-image|T1601.001 - Patch System Image]] também pode ser usada para modificar o firmware de dispositivos IOS/NX-OS e adicionar funcionalidades de redirecionamento persistente. ### Espelhamento em Ambientes Cloud (IaaS) Os três principais provedores oferecem funcionalidades nativas de captura de tráfego: - **AWS VPC Traffic Mirroring:** permite criar Mirror Sessions que copiam tráfego de ENIs (interfaces de rede elásticas) específicas para um ENI destino ou Network Load Balancer. Um adversário com permissões `ec2:CreateTrafficMirrorSession` pode configurar isso silenciosamente. - **GCP Packet Mirroring:** política que espelha tráfego de instâncias selecionadas para um Internal Load Balancer coletando pacotes em uma instância do atacante. - **Azure Virtual Network TAP (vTap):** permite encaminhar tráfego de uma NIC específica para um coletor definido pelo adversário. Em todos os casos, a configuração é feita via API e não gera tráfego adicional óbvio na interface da vítima - apenas o overhead de processamento da duplicação. ### Uso Combinado com Outras Técnicas A duplicação de tráfego é frequentemente combinada com: - [[t1040-network-sniffing|T1040 - Network Sniffing]]: para captura passiva em segmentos onde o adversário já tem acesso físico ou virtual - [[t1056-input-capture|T1056 - Input Capture]]: quando o objetivo é capturar credenciais inseridas via interfaces web ou aplicações - [[t1557-adversary-in-the-middle|T1557 - Adversary-in-the-Middle]]: para interceptação ativa combinada com duplicação passiva, maximizando coleta sem alertar IDS baseados em anomalia de conexão ## Detecção T1020.001 é uma das técnicas de exfiltração mais silenciosas disponíveis. Os dados saem como uma sombra do tráfego legítimo - não há uploads explícitos, não há novos processos, não há conexões C2 óbvias do endpoint comprometido. Em ambientes cloud, a configuração de espelhamento aparece nos logs de auditoria, mas tipicamente não gera alertas em SIEMs sem regras específicas. > [!warning] Fontes de dados para detecção > - **Logs de auditoria cloud:** alertar em criação de `TrafficMirrorSession` (AWS), `PacketMirroring` (GCP), ou `virtualNetworkTaps` (Azure) fora de jánelas de manutenção > - **Configuração de dispositivos de rede:** comparar running config com baseline - qualquer nova sessão SPAN ou alteração de política de roteamento deve ser investigada > - **Análise de fluxo (NetFlow/IPFIX):** tráfego duplicado gera aumento no volume de bytes transmitidos por interfaces espelhadas; pode aparecer como anomalia de banda > - **Alertas de permissão IaaS:** `ec2:CreateTrafficMirrorSession`, `compute.packetMirrorings.creaté` e equivalentes devem ser restritos e monitorados ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1041 | [[m1041-encrypt-sensitive-information\|M1041 - Encrypt Sensitive Information]] | Criptografar todo tráfego em trânsito com TLS 1.3 mínimo - dados espelhados serão ininteligíveis ao adversário sem a chave privada | | M1018 | [[m1018-user-account-management\|M1018 - User Account Management]] | Restringir permissões de configuração de espelhamento a roles específicas com MFA obrigatório; auditar regularmente quem pode criar Mirror Sessions | | M1057 | [[m1057-data-loss-prevention\|M1057 - Data Loss Prevention]] | Implementar monitoramento de configuração contínuo via AWS Config, GCP Policy ou Azure Policy para detectar Mirror Sessions não autorizadas em tempo real | ## Contexto Brasil/LATAM Esta técnica é característica de operações de espionagem de longo prazo - adversários com motivação de coleta contínua de inteligência, não de ransomware ou fraude pontual. Grupos de espionagem patrocinados por Estados (APTs com foco em governo, telecomúnicações e infraestrutura crítica) são os operadores mais prováveis. No contexto LATAM, a crescente adoção de infraestrutura em nuvem por órgãos governamentais e empresas de telecomúnicações aumenta a superfície de ataque para esta técnica. Provedores de serviços gerenciados (MSPs) e operadoras com acesso a múltiplos ambientes de clientes representam alvos de alto valor - comprometer o ponto de agregação de tráfego de um MSP equivale a monitorar todos os clientes simultaneamente. A ausência de threat actors atribuídos públicamente ao uso desta sub-técnica específica no Brasil não indica baixo uso - indica que campanhas onde ela foi empregada não foram descobertas ou a atribuição não foi divulgada públicamente. ## Referências - [[t1020-automated-exfiltration|T1020 - Exfiltração Automatizada]] - [[t1040-network-sniffing|T1040 - Network Sniffing]] - [[t1056-input-capture|T1056 - Input Capture]] - [[t1557-adversary-in-the-middle|T1557 - Adversary-in-the-Middle]] - [[t1542-004-rommonkit|T1542.004 - ROMMONkit]] - [[t1601-001-patch-system-image|T1601.001 - Patch System Image]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] - [[m1041-encrypt-sensitive-information|M1041 - Encrypt Sensitive Information]] - [[m1018-user-account-management|M1018 - User Account Management]] - [[m1057-data-loss-prevention|M1057 - Data Loss Prevention]] *Fonte: MITRE ATT&CK - T1020.001 Traffic Duplication, v16.2*