det0810-detection-of-search-victim-owned-websites

# DET0810 — Detection of Search Victim-Owned Websites ## Descrição Adversários realizam reconhecimento sistemático em websites de propriedade das organizações-alvo para coletar informações sobre estrutura tecnológica, pessoal, processos de negócio e potenciais pontos de entrada. Sites corporativos, portais de clientes, blogs e intranets expostas são fontes ricas de informação que permitem ao atacante construir um perfil detalhado do alvo sem acionar alertas de segurança. Grupos como [[g0016-apt29]], [[g0034-sandworm]] e atores de ransomware utilizam essa etapa antes de campanhas de phishing ou exploração de aplicações web expostas. A análise de websites-alvo inclui o mapeamento de tecnologias utilizadas (CMS, frameworks, servidores web via Wappalyzer ou BuiltWith), a coleta de e-mails e nomes de funcionários em páginas de contato, a identificação de formulários de login e painéis de administração, e a enumeração de subdomínios através de links internos e arquivos `sitemap.xml` e `robots.txt`. Ferramentas como `Burp Suite`, `wget --mirror` e `HTTrack` permitem a cópia completa de sites para análise offline, mapeada em [[t1593-search-open-websitesdomains]]. A detecção baseia-se no monitoramento de logs de acesso do servidor web em busca de padrões de crawling agressivo, downloads em massa de conteúdo, e acesso sequencial e sistemático a páginas que não seguem padrões de navegação humana normal. A implementação de honeypots em páginas "ocultas" (não linkadas) e o monitoramento de acesso a arquivos sensíveis como `robots.txt` com contexto de user-agent malicioso são estrategias complementares eficazes. ## Indicadores de Detecção - Download em massa de páginas do site corporativo por um único IP em curto intervalo (crawl raté > 10 req/s) - Acesso a `robots.txt`, `sitemap.xml` e `.well-known/` seguido imediatamente por varredura dos caminhos listados - User-agents de ferramentas de scraping conhecidas (`HTTrack`, `wget`, `curl` em modo recursivo, `Scrapy`) - Acesso sequencial e sistemático a todos os URLs do site sem padrão de navegação natural - Requisições a páginas de administração (`/admin`, `/wp-admin`, `/cpanel`) por IPs externos - Enumeração de diretórios via requisições 404 em padrão de wordlist (brute-force de paths) - Acesso a arquivos de backup expostos (`.bak`, `.old`, `~`, `.swp`) detectado em logs de servidor ## Técnicas Relacionadas - [[t1593-search-open-websitesdomains]] — busca em websites de propriedade da vítima - [[t1595-active-scanning|T1595-active-scanning]] — varredura ativa de aplicações web - [[t1190-exploit-public-facing-application|T1190-exploit-public-facing-application]] — exploração de aplicações identificadas no reconhecimento - [[t1592-gather-victim-host-information|T1592-gather-victim-host-information]] — coleta de informações tecnológicas via site - [[t1589-gather-victim-identity-information|T1589-gather-victim-identity-information]] — coleta de e-mails e nomes via site ## Analytics Relacionadas - [[an1942-analytic-1942|AN1942 — Analytic 1942]] --- *Fonte: [MITRE ATT&CK — DET0810](https://attack.mitre.org/detectionstrategies/DET0810)*