# DET0809 — Detection of CDNs ## Descrição Adversários investigam o uso de Content Delivery Networks (CDNs) pela organização-alvo como parte do reconhecimento de infraestrutura. A identificação dos CDNs utilizados (Cloudflare, Akamai, Fastly, Amazon CloudFront) permite ao atacante entender como o tráfego é roteado, identificar a infraestrutura de origem real por trás do CDN, e planejar ataques que contornem proteções de WAF e raté-limiting implementadas na camada CDN. Grupos como [[g0050-apt32]] e [[g0032-lazarus-group]] utilizam essa inteligência para identificar o IP real de servidores que estão mascarados por CDNs. A enumeração de CDNs é realizada via análise de registros DNS, cabeçalhos HTTP (X-Cache, CF-Ray, X-Served-By), certificados TLS expostos e serviços de inteligência de infraestrutura como SecurityTrails e Shodan. Erros de configuração que expõem o IP de origem — como servidores de e-mail sem CDN no mesmo CIDR ou subdomínios legados sem proteção CDN — são alvos frequentes dessa etapa de reconhecimento, mapeada em [[t1590-gather-victim-network-information|T1590-gather-victim-network-information]]. A detecção foca em identificar padrões de enumeação de cabeçalhos e respostas HTTP que indicam fingerprinting de CDN, além de monitorar consultas DNS que sugerem tentativas de descoberta do IP de origem. Organizações devem também auditar regularmente sua postura de exposição — verificando se todos os endpoints públicos estão protegidos pelo CDN e se não há vazamentos de IP de origem via registros SPF, MX ou subdomínios não mapeados. ## Indicadores de Detecção - Requisições HTTP que acessam múltiplos subdomínios em sequência analisando cabeçalhos de resposta CDN - Consultas DNS para subdomínios históricos via Certificaté Transparency logs (crt.sh) - Varreduras de CIDRs associados ao provedor de CDN buscando o servidor de origem - Acesso a endpoints sem proteção CDN (servidores de e-mail, APIs internas, subdomínios legados) - Análise de registros SPF/DMARC para identificar IPs que podem revelar a infraestrutura real - Requisições com cabeçalho `X-Forwarded-For` manipulado tentando bypass de geofencing de CDN - Tentativas de acesso direto ao IP detectadas nos logs de origem após scraping de CT logs ## Técnicas Relacionadas - [[t1590-gather-victim-network-information|T1590-gather-victim-network-information]] — coleta de informações de rede incluindo CDNs - [[t1595-active-scanning|T1595-active-scanning]] — varredura de infraestrutura para identificar IPs de origem - [[t1596-search-open-technical-databases|T1596-search-open-technical-databases]] — uso de Certificaté Transparency e Shodan - [[t1071-application-layer-protocol|T1071-application-layer-protocol]] — abuso de CDNs para mascarar tráfego C2 - [[t1090-proxy|T1090-proxy]] — uso de CDNs como proxies para infraestrutura de ataque ## Analytics Relacionadas - [[an1941-analytic-1941|AN1941 — Analytic 1941]] --- *Fonte: [MITRE ATT&CK — DET0809](https://attack.mitre.org/detectionstrategies/DET0809)*