det0080-exploit-public-facing-application-multi-signal-correlation-request-error

# DET0080 — Exploit Public-Facing Application – multi-signal correlation (request → error → post-exploit process/egress) ## Descrição A exploração de aplicações públicas (T1190) é uma das técnicas de acesso inicial mais exploradas em ataques a organizações, sendo responsável por uma parcela significativa das brechas reportadas em CVEs críticos de VPNs, firewalls, servidores web e frameworks como Log4Shell, ProxyLogon e Citrix Bleed. A detecção isolada de exploração é difícil — o sinal mais confiável é a correlação em múltiplas camadas: requisição anômala, resposta de erro ou comportamento inesperado do servidor, e atividade pós-exploração (criação de processo, conexão de saída, escrita de arquivo). Esta estratégia de detecção implementa uma cadeia de correlação temporal: (1) requisição HTTP/S com payload de exploit (SQLi, SSTI, RCE, path traversal) detectada em WAF ou IDS, (2) resposta do servidor com código de erro incomum ou conteúdo anômalo, (3) processo filho inesperado criado pelo servidor web (ex: `apache2` spawning `bash`, `w3wp.exe` spawning `cmd.exe`) ou conexão de rede de saída iniciada pelo processo do servidor. A presença dos três sinais em sequência temporal curta (< 5 minutos) tem alta fidelidade de detecção. No contexto brasileiro, exploração de VPNs e firewalls perimetrais é vetor primário de comprometimento de empresas do setor financeiro e governo. CVEs como [[cve-2024-47575|CVE-2024-47575]] (FortiManager), [[cve-2023-4966|CVE-2023-4966]] (Citrix Bleed) e falhas em Exchange são frequentemente explorados por grupos como [[unc5820]] e ransomware operators para acesso inicial antes de movimentação lateral. ## Indicadores de Detecção - Requisição HTTP com padrões de exploit (SQL injection, SSTI, command injection, path traversal) em parâmetros - Resposta do servidor com status 500 ou comportamento anômalo logo após requisição suspeita - Processo filho de servidor web (`apache2`, `nginx`, `w3wp.exe`, `java`) não esperado em produção - Conexão de rede de saída iniciada pelo processo do servidor para IP externo após requisição anômala - Escrita de arquivo em diretório web por processo de servidor web (webshell drop) - Sequência de requisições com payloads de exploit distintos em curto intervalo (scanner automatizado) ## Técnicas Relacionadas - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1505003-server-software-component-web-shell|T1505.003 — Web Shell]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1071001-application-layer-protocol-web-protocols|T1071.001 — Web Protocols]] - [[t1203-exploitation-for-client-execution|T1203 — Exploitation for Client Execution]] ## Analytics Relacionadas - [[an0219-analytic-0219|AN0219 — Analytic 0219]] - [[an0220-analytic-0220|AN0220 — Analytic 0220]] - [[an0221-analytic-0221|AN0221 — Analytic 0221]] - [[an0222-analytic-0222|AN0222 — Analytic 0222]] - [[an0223-analytic-0223|AN0223 — Analytic 0223]] - [[an0224-analytic-0224|AN0224 — Analytic 0224]] - [[an0225-analytic-0225|AN0225 — Analytic 0225]] --- *Fonte: [MITRE ATT&CK — DET0080](https://attack.mitre.org/detectionstrategies/DET0080)*