# T1590.004 - Network Topology ## Descrição Adversários podem coletar informações sobre a topologia de rede da organização-alvo como parte do processo de reconhecimento pré-comprometimento (técnica pai [[t1590-gather-victim-network-information|T1590 - Gather Victim Network Information]]). Informações sobre topologia de rede incluem o arranjo físico e/ou lógico dos ambientes de rede, tanto os voltados para a internet (externos) quanto os internos. A topologia de rede engloba dados críticos para o planejamento de um ataque: - **Dispositivos de borda**: Roteadores, firewalls, proxies, balanceadores de carga e gateways expostos na fronteira entre a rede interna e a internet. - **Segmentação de rede**: Como a rede interna está dividida em sub-redes, VLANs e zonas de segurança (DMZ, rede corporativa, rede de produção, OT/ICS). - **Infraestrutura de redundância**: Links redundantes, soluções de failover, CDNs e arquiteturas multi-datacenter que revelam dependências críticas. - **Arquitetura de nuvem**: Configurações de redes virtuais em AWS, Azure ou GCP, incluindo peering, VPCs e exposição de serviços. - **Caminhos de tráfego**: Rotas BGP, ASNs e informações de roteamento que revelam como o tráfego flui entre o alvo e a internet. Conhecer a topologia de rede antes do comprometimento permite que adversários planejem o vetor de ataque mais eficaz, identifiquem pontos cegos de monitoramento, planejem movimentação lateral pós-comprometimento e selecionem o ponto de entrada com menor probabilidade de detecção. Esta técnica é de pré-comprometimento (plataforma PRE) e é particularmente valorizada por grupos APT de nação-estado, como [[g1017-volt-typhoon|Volt Typhoon]] e [[g1045-salt-typhoon|Salt Typhoon]], que realizam reconhecimento extenso antes de qualquer ação ofensiva. > **Técnica pai:** [[t1590-gather-victim-network-information|T1590 - Gather Victim Network Information]] --- ## Como Funciona A coleta de informações sobre topologia de rede utiliza uma combinação de fontes abertas (OSINT) e técnicas ativas, dependendo do perfil de risco que o adversário está disposto a aceitar: ### 1. Enumeração Passiva via OSINT **Shodan e Censys**: Mecanismos de busca para dispositivos conectados à internet. Adversários utilizam queries específicas por organização (ASN, CIDR, nome de organização) para mapear serviços expostos, versões de firmware de roteadores, certificados SSL com hostnames internos e banners de serviços que revelam a arquitetura. **BGP e Dados de Roteamento**: Ferramentas como BGPView, RIPEStat e Hurricane Electric BGP Toolkit permitem mapear ASNs de uma organização, blocos de IP, peers BGP e prefixos anunciados. Isso revela a topologia de rede de alto nível e interdependências de provedores. **Certificados SSL/TLS (Certificaté Transparency)**: O Certificaté Transparency Log (crt.sh) expõe todos os certificados emitidos por uma organização, frequentemente revelando hostnames de sistemas internos, sub-redes separadas e infraestrutura de staging que não aparece em DNS público. **Registros DNS e WHOIS**: Transferências de zona DNS mal configuradas (AXFR) podem expor a topologia interna completa. Registros MX, SPF e DKIM revelam provedores de e-mail e infraestrutura de segurança. Histórico DNS (PassiveDNS) mostra endereços IP anteriores, possibilitando inferir mudanças de topologia. ### 2. Análise de Documentos Técnicos Públicos Muitas organizações publicam inadvertidamente diagramas de rede em licitações públicas, documentos de certificação de compliance (ISO 27001, PCI-DSS), relatórios de auditoria e apresentações técnicas em conferências. Job descriptions para vagas de TI/segurança frequentemente revelam tecnologias utilizadas (ex: "experiência em Cisco ASA, Palo Alto Panorama, Juniper SRX"). ### 3. Footprinting via [[t1595-active-scanning|Active Scanning]] Para adversários dispostos a aceitar maior risco de detecção, varreduras ativas usando Nmap, Masscan ou Zmap permitem mapear hosts ativos, portas abertas e versões de serviços. Técnicas de traceroute revelam saltos de roteamento e inferem a topologia física de rede. ### 4. Extração de Metadados de Infraestrutura Análise de headers HTTP de aplicações web expostas frequentemente revela informações sobre balanceadores de carga (X-Forwarded-For, Via, X-Cache), tecnologias de backend e nomes de hosts internos em mensagens de erro. --- ## Attack Flow ```mermaid graph TB A["Fase: Reconhecimento"] --> B["Identificar ASN e Blocos IP"] B --> C["OSINT Passivo - Shodan / Censys / BGP"] B --> D["Certificaté Transparency - crt.sh"] B --> E["DNS Enumeration / PassiveDNS"] C --> F["Mapa de Dispositivos de Borda"] D --> G["Hostnames Internos / Subdomínios"] E --> H["Infraestrutura de Serviços Expostos"] F --> I["Topologia de Rede Consolidada"] G --> I H --> I I --> J["Identificação de Pontos de Entrada"] I --> K["Identificação de Pontos Cegos de Monitoramento"] J --> L["Seleção de Vetor de Ataque"] K --> L L --> M["Comprometimento Inicial - T1190 / T1133"] M --> N["Movimentação Lateral Planejada"] ``` --- ## Exemplos de Uso ### Volt Typhoon (APT chinês - Infraestrutura Crítica) O [[g1017-volt-typhoon|Volt Typhoon]], grupo APT atribuído ao governo chinês, ficou notório por seu foco em pre-positioning em redes de infraestrutura crítica dos EUA (energia, água, transportes, telecomúnicações). O grupo realizou reconhecimento extenso de topologia de rede utilizando ferramentas legítimas de administração de rede (living-off-the-land) para mapear a arquitetura interna antes de qualquer movimento ofensivo. Análises do FBI e CISA em 2024 revelaram que o grupo havia mantido acesso persistente por anos em algumas redes, silenciosamente mapeando a topologia para uso futuro. ### Salt Typhoon (APT chinês - Telecomúnicações) O [[g1045-salt-typhoon|Salt Typhoon]] ganhou notoriedade em 2024 com o comprometimento de múltiplas operadoras de telecomúnicações dos EUA, incluindo AT&T, Verizon e T-Mobile. O grupo realizou reconhecimento detalhado de topologia de rede de backbone de telecomúnicações, incluindo infraestrutura de interceptação legal (CALEA), com o objetivo de monitorar comúnicações de alvos de inteligência. O mapeamento da topologia foi essencial para navegar redes complexas de telecomúnicações sem triggering de alertas. ### FIN13 (APT focado em Finanças - México/LATAM) O [[g1016-fin13|FIN13]] é um grupo de ameaça financeiramente motivado com foco primário em organizações do México e América Latina, incluindo bancos e empresas de processamento de pagamentos. O grupo realizou reconhecimento de topologia de rede para mapear a infraestrutura de sistemas de pagamento (SPEI no México, equivalentes brasileiros) e identificar sistemas ATM conectados à rede corporativa, viabilizando ataques de jáckpotting e fraudes em sistemas bancários de alto valor. ### Contexto Operacional - Brasil No Brasil, ataques a instituições financeiras frequentemente precedem reconhecimento de topologia de rede para identificar conexões entre a rede corporativa e sistemas do Banco Central (PIX, STR, SITRAF). Grupos de ameaça com histórico de comprometimento de bancos brasileiros demonstraram conhecimento detalhado da arquitetura de rede-alvo antes do comprometimento. --- ## Detecção Como técnica de pré-comprometimento baseada principalmente em OSINT passivo, a detecção direta é limitada. As oportunidades de detecção concentram-se em: - Monitoramento de Shodan/Censys para aparecimento de sistemas da organização nos índices - Alertas para varreduras ativas (IDS/IPS na borda) - Análise de logs de DNS para tentativas de transferência de zona (AXFR) - Monitoramento de certificaté transparency para novos certificados do domínio corporativo - Honeypots em ranges de IP não utilizados para detectar varreduras de enumeração ### Sigma Rule - Tentativa de Transferência de Zona DNS ```yaml title: Tentativa de Transferência de Zona DNS (AXFR) status: experimental logsource: category: dns product: generic detection: selection: dns_query_type: 'AXFR' condition: selection level: high tags: - attack.reconnaissance - attack.t1590.004 ``` ### Sigma Rule - Varredura de Topologia via Traceroute Massivo ```yaml title: Traceroute Massivo para Enumeração de Topologia status: experimental logsource: category: network product: firewall detection: selection: proto: ICMP icmp_type: - 8 - 11 condition: selection timeframe: 1m condition: selection | count() by src_ip > 100 level: medium tags: - attack.reconnaissance - attack.t1590.004 - attack.t1595 ``` --- ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1056 | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Minimizar a quantidade de informações de topologia de rede expostas publicamente. Revisar o que é indexado pelo Shodan/Censys e corrigir serviços desnecessáriamente expostos. | | - | Gestão de Exposição de Superfície | Implementar programas de gerenciamento de superfície de ataque (ASM) que monitorem continuamente quais ativos e informações de topologia estão visíveis externamente. | | - | Configuração DNS Segura | Desabilitar transferências de zona DNS (AXFR) para hosts não autorizados. Utilizar split-horizon DNS para não expor nomes de hosts internos externamente. | | - | Gestão de Certificados | Evitar o uso de hostnames internos em certificados SSL públicos. Usar SANs genéricas ou certificados wildcard quando possível para minimizar vazamento de topologia via CT logs. | | - | Segmentação de Rede | Implementar segmentação rigorosa de rede para que mesmo que a topologia de borda sejá conhecida, a topologia interna permaneça opaca. | | - | Monitoramento de ASM | Utilizar plataformas de Attack Surface Management (ASM) como Shodan Monitor, Censys Teams ou soluções similares para detectar exposição não intencional de informações de topologia. | --- ## Contexto Brasil/LATAM A América Latina e especialmente o Brasil apresentam desafios específicos relacionados à exposição de topologia de rede: **Infraestrutura Crítica Nacional Exposta**: Estudos realizados pelo CERT.br e pesquisadores independentes identificam regularmente sistemas de infraestrutura crítica brasileira (SCADA/ICS, sistemas de saúde, sistemas de energia) com configurações de rede expostas públicamente no Shodan. O Brasil frequentemente aparece nos rankings globais de dispositivos industriais expostos. **Operadoras de Telecomúnicações como Alvos**: O Brasil possui o maior mercado de telecomúnicações da América Latina. Grupos como [[g1045-salt-typhoon|Salt Typhoon]] têm demonstrado interesse em infraestrutura de telecomúnicações globalmente, e operadoras brasileiras (Claro, Vivo, TIM, Oi) representam alvos estratégicos para inteligência de sinais e interceptação de comúnicações. **Setor Financeiro e PIX**: A arquitetura do Sistema de Pagamentos Instantâneos (PIX) do Banco Central do Brasil conecta mais de 750 participantes (bancos, fintechs, cooperativas). O mapeamento de topologia de rede de participantes do PIX é estratégicamente valioso para grupos com motivação financeira, como observado em casos de comprometimento do [[g1016-fin13|FIN13]] em infraestrutura financeira similar no México. **Exposição em Licitações Públicas**: A Lei de Acesso à Informação (LAI) e os processos de licitação pública brasileiros frequentemente resultam na públicação de específicações técnicas detalhadas de infraestrutura, incluindo diagramas de rede e inventários de equipamentos de órgãos públicos, criando uma fonte involuntária de informações de topologia para adversários. Técnicas complementares frequentemente utilizadas em conjunto: - [[t1595-active-scanning|T1595 - Active Scanning]] - [[t1596-search-open-technical-databases|T1596 - Search Open Technical Databases]] - [[t1583-acquire-infrastructure|T1583 - Acquire Infrastructure]] - [[t1133-external-remote-services|T1133 - External Remote Services]] --- ## Referências - [MITRE ATT&CK - T1590.004](https://attack.mitre.org/techniques/T1590/004) - [Volt Typhoon - CISA Advisory AA24-038A](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a) - [Salt Typhoon - FBI/CISA Joint Advisory 2024](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-326a) - [FIN13 - Mandiant Report: FIN13 Intrusions](https://www.mandiant.com/resources/blog/fin13-cybercriminal-mexico) - [Shodan - Exposição de Infraestrutura Crítica no Brasil](https://www.shodan.io/) - [CERT.br - Relatórios de Incidentes de Segurança](https://www.cert.br/stats/) - [BGPView - Análise de Topologia de Rede](https://bgpview.io/) - [crt.sh - Certificaté Transparency Search](https://crt.sh/)