# DET0808 — Detection of Vulnerabilities ## Descrição Adversários realizam reconhecimento ativo e passivo para identificar vulnerabilidades em sistemas, aplicações e infraestruturas de um alvo antes de iniciar ataques. Isso inclui varreduras com ferramentas como Shodan, Censys e Nuclei, consultas a bancos de dados públicos de CVEs (NVD, CISA KEV), e análise de versões de software expostas em banners de serviço. O objetivo é identificar pontos de entrada exploráveis sem contato direto com o alvo — permitindo que grupos como [[g0016-apt29]], [[g0096-apt41]] e [[g1017-volt-typhoon]] planejem ataques altamente direcionados com maior taxa de sucesso. A detecção dessa atividade envolve monitorar varreduras externas contra a infraestrutura exposta da organização, identificar padrões de fingerprinting de versões em logs de servidores web e detectar consultas repetitivas a banners de serviços como SSH, SMTP e RDP. Ferramentas de varredura deixam assinaturas características nos logs — user-agents específicos, padrões de requisição e intervalos regulares de acesso que diferem de tráfego legítimo. A correlação entre a identificação de vulnerabilidades específicas e tentativas subsequentes de exploração é fundamental para confirmação. Um aumento em scans direcionados a uma porta ou serviço específico seguido de tentativas de exploração de um CVE recente é indicativo de campanha coordenada. Essa estratégia é diretamente vinculada a [[t1595-active-scanning|T1595-active-scanning]] e [[t1592-gather-victim-host-information|T1592-gather-victim-host-information]], e seu resultado alimenta decisões de exploração descritas em [[t1190-exploit-public-facing-application|T1190-exploit-public-facing-application]]. ## Indicadores de Detecção - Varreduras de porta sistemáticas originadas de IPs de serviços de scan conhecidos (Shodan, Censys, BinaryEdge) - Requisições com user-agents característicos de ferramentas de scan (`Nuclei`, `Nmap`, `Masscan`, `ZGrab`) - Acesso a endpoints de versão (`/version`, `/_info`, `/actuator/info`) em servidores web sem contexto legítimo - Banners de serviço acessados repetidamente sem estabelecimento de sessão completa - Consultas DNS em massa para subdomínios da organização em padrão de enumeração - Correlação de CVEs recentes em CISA KEV com scans direcionados às portas/serviços afetados - Tentativas de acesso a painéis administrativos expostos (`/admin`, `/manager`, `/console`) ## Técnicas Relacionadas - [[t1595-active-scanning|T1595-active-scanning]] — varredura ativa para identificação de vulnerabilidades - [[t1592-gather-victim-host-information|T1592-gather-victim-host-information]] — coleta de informações sobre versões e configurações - [[t1190-exploit-public-facing-application|T1190-exploit-public-facing-application]] — exploração das vulnerabilidades identificadas - [[t1596-search-open-technical-databases|T1596-search-open-technical-databases]] — consulta a bancos de CVEs públicos - [[t1046-network-service-discovery]] — escaneamento de serviços de rede ## Analytics Relacionadas - [[an1940-analytic-1940|AN1940 — Analytic 1940]] --- *Fonte: [MITRE ATT&CK — DET0808](https://attack.mitre.org/detectionstrategies/DET0808)*