# AN1966 — Analytic 1966 ## Descrição Esta analítica detecta staging de ferramentas adversariais acessíveis públicamente quando infraestrutura ou padrões de tooling previamente identificados são expostos via scanning de internet, revelando quando adversários disponibilizaram ferramentas para targeting; a detecção de uso das ferramentas ocorre principalmente na fase Ingress Tool Transfer (T1105). A telemetria inclui dados de scanners de internet (Shodan/Censys) correlacionados com hashes de ferramentas ofensivas conhecidas, passive DNS monitorando novos domínios de hosting de ferramentas e alertas de EDR para downloads de ferramentas de URLs de staging conhecidas. Esta analítica é valiosa para equipes de CTI que monitoram proativamente infraestrutura adversarial e podem alertar para campanhas em preparação antes da fase de execução. **Plataformas:** PRE --- ## Técnicas Relacionadas - [[t1608-stage-capabilities|T1608 — Stage Capabilities]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] - [[t1588-obtain-capabilities|T1588 — Obtain Capabilities]] - [[t1587-develop-capabilities|T1587 — Develop Capabilities]] --- *Fonte: [MITRE ATT&CK — AN1966](https://attack.mitre.org/detectionstrategies/DET0834#AN1966)*