# T1669 - Wi-Fi Networks ## Descrição Adversários podem obter acesso inicial a sistemas-alvo conectando-se a redes sem fio. Essa técnica explora a natureza física e onipresente das redes Wi-Fi - ao contrário de ataques puramente remotos, ela requer certo nível de proximidade geográfica para descobrir, associar e manter uma conexão estável com o ponto de acesso alvo. Redes abertas são exploradas diretamente; redes protegidas por senha exigem credenciais válidas, que podem ter sido obtidas previamente via [[t1078-valid-accounts|Valid Accounts]] ou ataques de captura de handshake. Para superar a barreira da proximidade física, adversários sofisticados como o [[g0007-apt28|APT28]] adotaram a técnica conhecida como "nearest neighbor attack": comprometer remotamente um sistema terceiro que estejá na vizinhança física do alvo e que possua interfaces de rede dual-homed - ou sejá, conectado tanto à internet quanto a uma rede Wi-Fi local. Esse sistema intermediário atua como ponte entre o adversário e a rede sem fio da organização-alvo, eliminando a necessidade de presença física no local. Uma vez associado ao ponto de acesso, o adversário pode realizar [[t1040-network-sniffing|Network Sniffing]] para capturar credenciais em trânsito, executar ataques [[t1557-adversary-in-the-middle|Adversary-in-the-Middle]] para interceptar sessões, ou iniciar movimentação lateral na rede interna. A técnica é particularmente relevante em cenários de escritórios corporativos, instalações industriais e ambientes de conferência, onde redes Wi-Fi frequentemente têm acesso a segmentos de rede internos sensíveis. A exploração bem-sucedida resulta em acesso equivalente ao de um dispositivo físico na rede interna, contornando controles de perímetro tradicionais. **Contexto Brasil/LATAM:** No Brasil, a ampla adoção de redes Wi-Fi corporativas sem segmentação adequada - especialmente em PMEs, escritórios de advocacia, contabilidades e escritórios regionais de grandes corporações - cria superfície de ataque significativa. Ambientes de coworking e espaços compartilhados, muito populares nos grandes centros urbanos brasileiros, são vetores de risco adicional. Grupos de ameaça com interesse em espionagem industrial e governamental na América Latina podem aproveitar a técnica para contornar controles de acesso remoto sem deixar rastros em logs de VPN ou proxies corporativos. ## Attack Flow ```mermaid graph TB A[Reconhecimento<br/>de Redes Wi-Fi]:::attack --> B[Comprometimento<br/>de Sistema Vizinho]:::technique B --> C[Conexão à Rede<br/>Wi-Fi do Alvo]:::technique C --> D[Sniffing / AiTM<br/>na Rede Interna]:::impact D --> E[Movimento Lateral<br/>e Exfiltração]:::impact classDef attack fill:#c0392b,color:#fff,stroke:#922b21 classDef technique fill:#e74c3c,color:#fff,stroke:#c0392b classDef impact fill:#2c3e50,color:#fff,stroke:#1a252f ``` ## Como Funciona **1. Preparação - Mapeamento e Pré-condições** O adversário realiza reconhecimento passivo para identificar redes Wi-Fi do alvo - SSIDs, tipo de autenticação (WPA2-Enterprise, PSK), canais e intensidade de sinal. Em ataques de proximidade direta, o adversário posiciona-se fisicamente nas proximidades (estacionamento, lobby, andar vizinho). Em ataques remotos ao estilo "nearest neighbor", o adversário primeiramente mapeia organizações com presença física próxima ao alvo e seleciona uma com segurança mais fraca para servir de pivô. Credenciais Wi-Fi podem ser obtidas via ataques de dicionário a handshakes capturados, phishing de credenciais corporativas, ou exfiltração de perfis de rede de dispositivos já comprometidos. **2. Execução - Associação e Estabelecimento de Acesso** Na técnica "nearest neighbor", o adversário compromete remotamente o sistema dual-homed na organização vizinha, instala ferramentas de tunelamento, e a partir desse pivô se conecta à rede Wi-Fi do alvo usando as credenciais obtidas. Após a associação bem-sucedida, o adversário obtém um endereço IP na rede interna. Dependendo da segmentação existente, pode ter acesso direto a servidores internos, estações de trabalho, sistemas de impressão, câmeras IP e dispositivos IoT. Ataques [[t1557-adversary-in-the-middle|Adversary-in-the-Middle]] como ARP poisoning ou rogue DHCP podem ser usados para capturar tráfego de outros clientes na rede. **3. Pós-execução - Exploração da Rede Interna** Uma vez dentro da rede sem fio, o adversário realiza descoberta de hosts e serviços via [[ta0007-discovery|Discovery]], tenta autenticação com credenciais padrão ou capturadas em outros estágios, e move-se lateralmente em direção a sistemas de alto valor. A conexão Wi-Fi pode servir como canal C2 alternativo ou como meio de exfiltração de dados que evita controles de DLP no tráfego de saída corporativo convencional. Ataques a redes Wi-Fi WPA2-Enterprise podem também resultar em captura de hashes NTLMv2 via rogue AP, que podem ser submetidos a ataques offline de força bruta. ## Detecção **Event IDs relevantes (Windows / Network):** | Event ID | Fonte | Descrição | |----------|-------|-----------| | 4776 | Security | Autenticação NTLM - detectar autenticações de hosts desconhecidos na rede interna | | 4624 | Security | Logon bem-sucedido - hosts não gerenciados conectando-se via Wi-Fi corporate | | 5156 | Security | Windows Filtering Platform - conexões de IPs não catalogados no inventário | | 4001 | Wireless LAN Service | Falha de autenticação Wi-Fi - múltiplas tentativas podem indicar ataque de força bruta | | 4002 | Wireless LAN Service | Novo cliente associado a ponto de acesso - monitorar MACs não reconhecidos | **Sigma Rule - Detecção de Novo Host Desconhecido na Rede Interna:** ```yaml title: Unknown Host Authentication on Corporaté Network id: b7e2d4f1-3a9c-4e2b-8f6d-1c4a7e0b5d2f status: experimental description: > Detecta autenticação bem-sucedida originada de endereços IP fora do inventário de ativos gerenciados, possível indicador de acesso via Wi-Fi não autorizado (T1669). author: RunkIntel daté: 2026-03-24 references: - https://attack.mitre.org/techniques/T1669/ logsource: product: windows service: security detection: selection: EventID: 4624 LogonType: - 3 - 10 AuthenticationPackageName: NTLM filter_known_assets: IpAddress|cidr: - '10.0.0.0/8' - '172.16.0.0/12' - '192.168.0.0/16' condition: selection and not filter_known_assets falsepositives: - Dispositivos novos adicionados à rede de forma legítima - Dispositivos de visitantes em segmentos de guest Wi-Fi - Equipamentos de TI recentemente reimaginados level: medium tags: - attack.initial_access - attack.t1669 ``` ## Mitigação | Controle | Descrição | Prioridade para Orgs Brasileiras | |----------|-----------|----------------------------------| | **WPA3 ou WPA2-Enterprise com certificados** | Evitar PSK compartilhada em redes corporativas; usar 802.1X com RADIUS e certificados por dispositivo, impedindo reutilização de credenciais capturadas | Alta - maioria das PMEs brasileiras ainda usa WPA2-PSK | | **Segmentação de rede Wi-Fi** | Separar rede Wi-Fi corporativa de rede de dados críticos com VLAN e firewall; dispositivos Wi-Fi não devem alcançar servidores de domínio diretamente | Alta - escritórios sem segmentação são alvos fáceis | | **Detecção de Rogue APs** | Implementar WIDS (Wireless Intrusion Detection System) para alertar sobre pontos de acesso não autorizados e clientes com comportamento anômalo | Média - WIDS ainda subutilizado no Brasil | | **MFA em todos os acessos internos** | [[m1032-multi-factor-authentication\|M1032 - Multi-factor Authentication]] em VPN, RDP e aplicações internas elimina o valor de credenciais Wi-Fi capturadas | Alta - reduz drasticamente o impacto pós-associação | | **Monitoramento de MACs desconhecidos** | Integrar logs do controlador Wi-Fi com SIEM; alertar para MACs não cadastrados no inventário de ativos | Média - requer inventário de ativos atualizado | | **Criptografia de tráfego interno** | [[m1041-encrypt-sensitive-information\|M1041 - Encrypt Sensitive Information]] - usar TLS mútuo em aplicações internas para mitigar eficácia do AiTM mesmo dentro da rede | Alta - dados em claro em redes internas são exposição crítica | ## Threat Actors - [[g0007-apt28|APT28]] - grupo de espionagem russo (GRU) que desenvolveu e executou o "nearest neighbor attack" documentado pela Volexity, comprometendo remotamente uma organização vizinha para pivotar via Wi-Fi até a rede-alvo em Washington D.C. sem jámais precisar de presença física no local ## Software Associado Não há implantes específicos associados exclusivamente a T1669; a técnica é frequentemente usada como vetor de acesso inicial, com ferramentas de pós-exploração introduzidas na fase subsequente. Ferramentas como `aircrack-ng`, `hostapd-wpe` e proxies SOCKS são comuns na execução, mas não são malware exclusivo de atores específicos. --- *Fonte: [MITRE ATT&CK - T1669](https://attack.mitre.org/techniques/T1669)*