# DET0811 — Detection of Search Engines ## Descrição Adversários utilizam motores de busca como Google, Bing, Shodan e Censys para realizar reconhecimento passivo sobre organizações-alvo através de técnicas conhecidas como Google Dorking (Google Hacking). Essa abordagem permite descobrir arquivos sensíveis indexados inadvertidamente, painéis de administração expostos, bancos de dados acessíveis públicamente, documentos internos e credenciais vazadas — tudo sem contato direto com a infraestrutura do alvo, tornando a detecção extremamente difícil. Grupos como [[g0007-apt28]], [[g0050-apt32]] e atores de crime organizado utilizam extensivamente essa técnica no mapeamento inicial de alvos. Operadores de busca avançados (dorks) como `site:empresa.com.br filetype:xlsx`, `inurl:/admin/ intext:password`, ou `intitle:"index of" site:empresa.com` permitem encontrar informações que deveriam ser privadas mas foram expostas por erros de configuração. Serviços especializados como Shodan e Censys indexam dispositivos e serviços expostos na internet, permitindo busca por banners de serviço, certificados TLS e tecnologias específicas sem qualquer varredura direta, mapeados em [[t1596-search-open-technical-databases|T1596-search-open-technical-databases]]. A detecção direta dessa atividade é limitada pois ocorre em infraestrutura de terceiros. No entanto, é possível monitorar o volume de tráfego de referência de motores de busca para páginas sensíveis, implementar Google Alerts para menções à organização com termos suspeitos, e auditar regularmente o que está indexado nos motores de busca via `site:` operator. A resposta proativa inclui o uso de `robots.txt` para desindexar conteúdo sensível e a implementação de autenticação em painéis expostos identificados. ## Indicadores de Detecção - Acesso a páginas sensíveis com referrer de motor de busca (Google, Bing) — especialmente painéis admin - Tráfego de Googlebot ou Bingbot em áreas do site que deveriam estar desindexadas via `robots.txt` - Resultados de monitoramento Google Alerts com dorks específicos sobre a organização - Arquivos sensíveis (`.xlsx`, `.pdf`, `.sql`) encontrados indexados em auditoria manual de `site:empresa.com` - Acesso a documentos internos expostos por usuários que chegaram via busca orgânica - Dispositivos da organização identificados no Shodan/Censys com serviços expostos não esperados - Menções a credenciais ou dados internos em resultados de busca identificadas em monitoramento de superfície de ataque ## Técnicas Relacionadas - [[t1593-search-open-websitesdomains]] — uso de motores de busca para reconhecimento - [[t1596-search-open-technical-databases|T1596-search-open-technical-databases]] — Shodan, Censys e bancos de dados técnicos - [[t1589-gather-victim-identity-information|T1589-gather-victim-identity-information]] — coleta de e-mails e nomes via resultados de busca - [[t1552-unsecured-credentials|T1552-unsecured-credentials]] — descoberta de credenciais expostas via dorks - [[t1213-data-from-information-repositories|T1213-data-from-information-repositories]] — arquivos sensíveis indexados ## Analytics Relacionadas - [[an1943-analytic-1943|AN1943 — Analytic 1943]] --- *Fonte: [MITRE ATT&CK — DET0811](https://attack.mitre.org/detectionstrategies/DET0811)*