Thiago Teixeira
EN | PT

Netcat

Nmap Project / Hobbit

"Canivete suíço" do TCP/IP — banner grabbing, escuta de porta, transferência de arquivos e reverse shells.

Reconhecimento e Monitoramento de Rede Gratuito e Open Source CLI Em Estudo Cross-platform
Página Inicial Documentação

Cyber Kill Chain e Ciclo do Defensor

Atacante — Kill Chain
1 Reconhecimento
2 Armamento
3 Entrega
4 Exploração
5 Instalação
6 Comando e Controle
7 Ações sobre Objetivos
Defensor — Ciclo de RI
8 Detecção / Monitoramento
9 Contenção e Erradicação
10 Forense Pós-Incidente

Descrição

O Netcat (nc) é um utilitário minúsculo que lê e escreve dados em conexões de rede. Atacantes e defensores usam. Um analista CySA+ deve reconhecer sua presença em um host porque o Netcat é um IOC clássico — frequentemente usado para reverse shells, bind shells, relays de porta e exfiltração ad hoc.

Usos defensivos: banner grabbing, listeners rápidos para testar firewall, transferências simples entre DMZs.

Variantes para a prova: nc, ncat (Nmap), socat, implementações BSD vs GNU (a flag -e execve costuma ser removida em distros hardened — e com razão).

Casos de uso

  • Coleta de banner durante triagem
  • Listener rápido para validar ACLs
  • Reconhecer padrões de reverse shell em alertas de EDR
  • Transferência de evidências de VM forense em lab controlado

Exemplo

# Banner grab
nc -nv 10.10.10.5 22

# Listener that pipes input into a file (defender lab)
nc -lvnp 4444 > /tmp/incoming.bin