# DET0815 — Detection of IP Addresses ## Descrição A descoberta de endereços IP pertencentes à organização-alvo é uma etapa fundamental do reconhecimento de infraestrutura. Adversários mapeiam blocos de IP via registros WHOIS, bancos de dados de roteamento BGP (RIPE, ARIN, LACNIC), dados de Certificaté Transparency e ferramentas de varredura como Shodan e Masscan. Com um inventário dos IPs do alvo, o atacante pode identificar serviços expostos, tecnologias em uso, vulnerabilidades conhecidas e padrões de mudança de infraestrutura ao longo do tempo. Grupos como [[g0007-apt28]], [[g1017-volt-typhoon]] e [[g0034-sandworm]] realizam esse mapeamento extensivamente antes de operações de longa duração. A enumeração de IPs é complementada pela análise de registros DNS reversos, resolução de todos os subdomínios do domínio-alvo para seus IPs correspondentes, e análise de certificados TLS que frequentemente revelam múltiplos domínios e subdomínios hospedados no mesmo IP. No contexto do LACNIC (América Latina), muitas organizações brasileiras têm seus blocos de IP registrados públicamente, tornando esse mapeamento trivial para qualquer ator com motivação para realiza-lo. A detecção foca em identificar varreduras contra os próprios IPs da organização e monitorar referências a seus ranges de IP em plataformas de inteligência externas. Organizações devem manter um inventário atualizado de seus próprios ativos de IP, utilizar serviços de monitoramento de superfície de ataque externa, e detectar quando novos subdomínios ou serviços são expostos em IPs pertencentes ao seu espaço de endereçamento, conforme descrito em [[t1590-gather-victim-network-information|T1590-gather-victim-network-information]]. ## Indicadores de Detecção - Consultas WHOIS em massa a ranges de IP da organização registradas em servidores RIPE/LACNIC - Varreduras de todos os IPs em um bloco CIDR da organização (scans de /24 ou maiores) - Novo serviço detectado em IP da organização via monitoramento de superfície de ataque (Shodan) - Resolução DNS reversa em massa para todos os IPs do bloco da organização - Referências ao ASN ou blocos de IP da organização em relatórios de threat intelligence externos - Acessos de IPs da organização a infraestrutura de C2 conhecida — indicando comprometimento - Variações inesperadas em certificados TLS de IPs pertencentes à organização ## Técnicas Relacionadas - [[t1590-gather-victim-network-information|T1590-gather-victim-network-information]] — coleta de informações de rede incluindo IPs - [[t1595-active-scanning|T1595-active-scanning]] — varredura ativa dos IPs identificados - [[t1596-search-open-technical-databases|T1596-search-open-technical-databases]] — uso de WHOIS, BGP e Shodan para mapeamento - [[t1046-network-service-discovery]] — escaneamento de serviços em IPs identificados - [[t1018-remote-system-discovery|T1018-remote-system-discovery]] — descoberta de sistemas em ranges de IP mapeados ## Analytics Relacionadas - [[an1947-analytic-1947|AN1947 — Analytic 1947]] --- *Fonte: [MITRE ATT&CK — DET0815](https://attack.mitre.org/detectionstrategies/DET0815)*