# DET0816 — Detection of Threat Intel Vendors ## Descrição Adversários sofisticados pesquisam ativamente quais fornecedores de segurança e threat intelligence uma organização-alvo utiliza como parte do reconhecimento de capacidades defensivas. Conhecer os produtos de segurança implantados — EDRs, SIEMs, firewalls de nova geração, plataformas de threat intel — permite ao atacante adaptar suas técnicas para evadir as detecções específicas desses produtos e preparar implantes customizados que passam pelos controles existentes. Grupos como [[g0096-apt41]], [[g0016-apt29]] e equipes Red Team de estados-nação utilizam esse reconhecimento para garantir persistência de longa duração sem disparar alertas. As fontes de informação incluem públicações de vagas de emprego (que frequentemente listam tecnologias em uso), apresentações em conferências de segurança, relatórios de incidentes públicos, perfis de funcionários no LinkedIn com certificações e especializações específicas, e comúnicados de imprensa sobre parcerias com fornecedores de segurança. Além disso, fingerprinting passivo de respostas de servidor pode revelar agentes de segurança instalados (headers HTTP específicos, comportamentos de detecção de bots). A detecção dessa atividade é difícil por natureza passiva, mas possível através de monitoramento de requisições incomuns a páginas de vagas e páginas de parceiros de segurança no site corporativo, alertas sobre menções a tecnologias de segurança específicas em contextos de inteligência adversária, e detecção de tentativas de fingerprinting de agentes EDR via técnicas como a enumeração de processos ou chaves de registro características. A estratégia se relaciona a [[t1592-gather-victim-host-information|T1592-gather-victim-host-information]] e [[t1591-gather-victim-org-information|T1591-gather-victim-org-information]]. ## Indicadores de Detecção - Acesso repetitivo a páginas de parceiros tecnológicos ou de segurança no site corporativo - Vagas de emprego da organização consultadas em massa por IPs suspeitos (reconhecimento de stack tecnológico) - Tentativas de fingerprinting de ferramentas EDR via consulta a processos, serviços ou chaves de registro conhecidas - Enumeração de drivers ou módulos de kernel característicos de soluções de segurança específicas - Requisições a URLs de atualização de assinaturas de AV/EDR originadas de hosts comprometidos - Análise de cabeçalhos HTTP de resposta do WAF/CDN para identificar o produto de segurança utilizado - Consultas DNS a domínios de telemetria de fornecedores de segurança por hosts não esperados ## Técnicas Relacionadas - [[t1592-gather-victim-host-information|T1592-gather-victim-host-information]] — identificação de softwares de segurança instalados - [[t1591-gather-victim-org-information|T1591-gather-victim-org-information]] — reconhecimento de capacidades defensivas organizacionais - [[t1518-software-discovery|T1518-software-discovery]] — descoberta de softwares instalados nos hosts - [[t1562-impair-defenses|T1562-impair-defenses]] — evasão baseada no conhecimento das ferramentas de segurança - [[t1027-obfuscated-files-or-information|T1027-obfuscated-files-or-information]] — ofuscação customizada para evadir EDRs específicos ## Analytics Relacionadas - [[an1948-analytic-1948|AN1948 — Analytic 1948]] --- *Fonte: [MITRE ATT&CK — DET0816](https://attack.mitre.org/detectionstrategies/DET0816)*