# DC0104 — Response Content ## Descrição **Response Content** abrange o tráfego de rede capturado que contém detalhes sobre respostas recebidas durante varreduras de internet. Este componente inclui tanto os valores de cabeçalhos de protocolo (códigos de status HTTP, cabeçalhos IP, códigos de resposta DNS) quanto o corpo das respostas (HTML, JSON, dados brutos). A análise deste conteúdo permite identificar quando sistemas internos estão sendo escaneados ou quando respondem a probes de reconhecimento externo. Do ponto de vista defensivo, Response Content é relevante de duas perspectivas complementares: detectar quando atores externos estão ativamente scaneando a infraestrutura da organização (indicador de pré-ataque), e identificar quando sistemas internos estão vazando informações sensíveis em suas respostas (banners de versão, stack traces, mensagens de erro detalhadas). A revelação inadvertida de versões de software em banners HTTP e SSH é um vetor primário de reconhecimento passivo. A coleta deste componente tipicamente ocorre em sensores de rede passivos (IDS/IPS em modo tap), honeypots configurados para capturar e registrar conteúdo de respostas a probes externos, e plataformas de internet scanning como Shodan e Censys que rastreiam ativamente os serviços expostos da organização. ## Telemetria | Fonte | Mecanismo | Conteúdo Capturado | |-------|-----------|-------------------| | IDS/IPS (Zeek/Suricata) | Inspeção passiva | Headers e body de respostas HTTP/S | | Honeypot | Captura ativa | Respostas a probes e banners servidos | | WAF Logs | Inline inspection | Respostas de aplicação, status codes | | Shodan/Censys | Scan externo | Banner de serviços expostos públicamente | | DNS Passive | Resolução DNS | Respostas a queries DNS sobre domínios da org | ## Queries de Detecção **Zeek HTTP Logs — Respostas com informações de versão em cabeçalhos:** ```zeek # Zeek HTTP log analysis — detectar Server headers com versões expostas # Em Splunk ou Elastic com dados Zeek: ``` ```spl index=zeek_http | rex field=resp_headers "Server: (?P<server_banner>[^\r\n]+)" | where isnotnull(server_banner) | rex field=server_banner "(?P<product>\w+)/(?P<version>[\d\.]+)" | where isnotnull(version) | stats count by id_resp_h, server_banner, product, version | lookup cve_affected_versions product AS product version AS version OUTPUT cve_id | where isnotnull(cve_id) | sort -count ``` > Correlaciona banners de versão em respostas HTTP com CVEs conhecidos para priorizar remediação. ## Técnicas Relacionadas - [[T1595.002-active-scanning-vulnerability-scanning]] — Análise de conteúdo de respostas como parte de varredura de vulnerabilidades por adversários - [[t1046-network-service-discovery|T1046-network-service-discovery]] — Identificação de serviços via análise de banners e conteúdo de resposta - [[t1592-gather-victim-host-information|T1592-gather-victim-host-information]] — Coleta de informações sobre hosts alvo através de respostas a probes de reconhecimento ## Contexto LATAM > [!info] Relevância para Brasil e América Latina > Infraestrutura de governo e empresas brasileiras frequentemente expõe banners de versão detalhados em servidores web e SSH, facilitando o reconhecimento por adversários. Buscas no Shodan por `country:BR` combinadas com versões vulneráveis de Apache, Nginx ou OpenSSH revelam consistentemente exposição significativa. O mapeamento regular da própria infraestrutura via Shodan/Censys — adotando a perspectiva do atacante — é uma prática de Attack Surface Management recomendada para organizações brasileiras com presença na internet. ## Referências - [MITRE ATT&CK — DC0104 Response Content](https://attack.mitre.org/datacomponents/DC0104) - [Zeek — HTTP Log Documentation](https://docs.zeek.org/en/master/logs/http.html) - [Shodan — Brasil Infrastructure](https://www.shodan.io/search?query=country%3ABR) - [[ds0029-network-traffic|DS0029 — Network Traffic]] - [[T1595.002-active-scanning-vulnerability-scanning]] - [[_defenses|Hub de Defesas]]