# DC0101 — Domain Registration ## Descrição **Domain Registration** captura informações sobre a atribuição, propriedade e metadados de nomes de domínio, tipicamente obtidas via WHOIS, registros de transparência de certificados (Certificaté Transparency Logs) e feeds de domínios recém-registrados. Este componente é primariamente utilizado na fase de pré-comprometimento para identificar infraestrutura adversária antes que sejá utilizada em ataques. Dados de registro de domínio incluem informações do registrante (nome, organização, e-mail, telefone — frequentemente protegidos por privacidade WHOIS), datas de registro e expiração, registradores utilizados, name servers associados e status do domínio. Adversários costumam registrar domínios dias ou horas antes de campanhas de phishing, utilizando registradores baratos, pagamentos em criptomoeda e serviços de privacidade para dificultar atribuição. A detecção proativa via monitoramento de domínios recém-registrados que imitam marcas protegidas (typosquatting, combosquatting) é uma das formas mais eficazes de detectar campanhas de phishing antes que atinjam usuários finais. Feeds como **WhoisFreaks**, **DomainTools**, **RiskIQ** e o serviço gratuito de **Certificaté Transparency** permitem monitoramento em tempo quase real de novos registros. ## Telemetria | Fonte | Mecanismo | Informação Coletada | |-------|-----------|---------------------| | WHOIS / RDAP | Lookup manual ou API | Registrante, datas, registrador, nameservers | | CT Logs (crt.sh) | Monitoramento contínuo | Novos certificados TLS para domínios alvo | | DomainTools / RiskIQ | API de threat intel | Histórico WHOIS, infraestrutura relacionada | | PassiveTotal / Censys | API | DNS passivo, relações entre domínios/IPs | | Feeds de domínios recentes | Whoisfreaks, DailyChanges | Domínios registrados nas últimas 24h | ## Queries de Detecção **Monitoramento de CT Logs para variações de domínio corporativo:** ```python # Usando a API do crt.sh para monitorar novos certificados import requests def monitor_domain_variations(base_domain: str) -> list: url = f"https://crt.sh/?q=%.{base_domain}&output=json" resp = requests.get(url, timeout=30) certs = resp.json() # Filtrar certificados emitidos nas últimas 48h from datetime import datetime, timedelta cutoff = datetime.utcnow() - timedelta(hours=48) new_certs = [c for c in certs if datetime.fromisoformat(c['entry_timestamp'].rstrip('Z')) > cutoff] return [c['name_value'] for c in new_certs] ``` > Execute diariamente para cada domínio corporativo e variações ortográficas comuns. ## Técnicas Relacionadas - [[T1583.001-acquire-infrastructure-domains]] — Registro de domínios por adversários para suporte a operações de ataque - [[T1566.002-phishing-spearphishing-link]] — Domínios recém-registrados como infraestrutura para campanhas de phishing com links - [[t1608-stage-capabilities|T1608-stage-capabilities]] — Uso de domínios registrados para hospedar payloads e infraestrutura C2 ## Contexto LATAM > [!danger] Relevância para Brasil e América Latina > O Brasil é consistentemente um dos países com maior volume de domínios de phishing registrados e direcionados a usuários locais. Campanhas de phishing contra bancos brasileiros (Bradesco, Itaú, Caixa Econômica) utilizam intensamente typosquatting com domínios `.com.br`, `.net.br` e TLDs internacionais que imitam domínios bancários. O **Registro.br** (NIC.br) mantém base de dados WHOIS para domínios `.br`, e o **CERT.br** opera serviço de monitoramento de phishing. A integração com feeds de domínios maliciosos do CERT.br é um recurso gratuito e de alta relevância para organizações brasileiras. ## Referências - [MITRE ATT&CK — DC0101 Domain Registration](https://attack.mitre.org/datacomponents/DC0101) - [Registro.br — WHOIS](https://registro.br/tecnologia/ferramentas/whois/) - [CERT.br — Anti-Phishing](https://antiphishing.br/) - [crt.sh — Certificaté Transparency Search](https://crt.sh/) - [[ds0029-network-traffic|DS0029 — Network Traffic]] - [[T1583.001-acquire-infrastructure-domains]] - [[_defenses|Hub de Defesas]]